Federal Hükümet, Fidye Yazılımı, Siber Saldırılar ve Casuslukta Kullanılan Botnetlerle Bağlantılı Olduğu İddia Edilen 16 Rus'u Suçladı

Rusya'daki hacker ekosistemi , belki de dünyanın başka hiçbir yerinde olmadığı kadar, siber suç, devlet destekli siber savaş ve casusluk arasındaki çizgileri uzun zamandır bulanıklaştırdı . Şimdi bir grup Rus vatandaşının suçlanması ve onların yaygın botnetinin ortadan kaldırılması, tek bir kötü amaçlı yazılım operasyonunun fidye yazılımı, Ukrayna'daki savaş zamanı siber saldırıları ve yabancı hükümetlere karşı casusluk gibi çeşitli hacker operasyonlarını nasıl mümkün kıldığına dair yıllardır görülen en açık örneği sunuyor.

ABD Adalet Bakanlığı bugün, kolluk kuvvetlerinin DanaBot olarak bilinen bir kötü amaçlı yazılım operasyonuyla ilişkilendirdiği 16 kişiye karşı cezai suçlamalar duyurdu. Bir şikayete göre bu operasyon dünya çapında en az 300.000 makineyi etkiledi. Adalet Bakanlığı'nın suçlama duyurusunda grup "Rusya merkezli" olarak tanımlanıyor ve şüphelilerden ikisinin, Aleksandr Stepanov ve Artem Aleksandrovich Kalinkin'in Rusya'nın Novosibirsk kentinde yaşadığı belirtiliyor. İddianamede beş şüpheli daha yer alırken, dokuz şüpheli yalnızca takma adlarıyla tanımlanıyor. Adalet Bakanlığı, bu suçlamalara ek olarak Savunma Bakanlığı'nın cezai soruşturma kolu olan Savunma Ceza Soruşturma Servisi'nin (DCIS) ABD de dahil olmak üzere dünya çapında DanaBot altyapısına el koyduğunu söylüyor.

İddianamede DanaBot'un kar amaçlı suç amaçlı bilgisayar korsanlığında nasıl kullanıldığı iddiasının yanı sıra daha nadir bir iddia da yer alıyor: Askeri, hükümet ve STK hedeflerine karşı casuslukta kullanılan kötü amaçlı yazılımın ikinci bir varyantının nasıl kullanıldığı anlatılıyor. ABD'li avukat Bill Essayli bir açıklamada "DanaBot gibi yaygın kötü amaçlı yazılımlar, hassas askeri, diplomatik ve hükümet kuruluşları da dahil olmak üzere dünya çapında yüz binlerce kurbana zarar veriyor ve milyonlarca dolarlık kayba neden oluyor" diye yazdı.

2018'den beri, ceza şikayetinde "inanılmaz derecede istilacı kötü amaçlı yazılım" olarak tanımlanan DanaBot, başlangıçta kredi kartı ve kripto para hırsızlığı için tasarlanmış modüler özelliklere sahip, doğrudan bu bilgisayarların sahiplerinden çalmak için tasarlanmış bir bankacılık truva atı olarak dünya çapında milyonlarca bilgisayarı etkiledi. Ancak yaratıcılarının onu, ayda 3.000 ila 4.000 dolara diğer hacker gruplarına sunan bir "bağlı kuruluş" modelinde sattığı iddia edildiğinden, kısa sürede fidye yazılımı da dahil olmak üzere çok çeşitli operasyonlarda farklı kötü amaçlı yazılım biçimleri yüklemek için bir araç olarak kullanıldı. Siber güvenlik firması Crowdstrike tarafından yapılan bir operasyon analizine göre, hedefleri de Ukrayna, Polonya, İtalya, Almanya, Avusturya ve Avustralya'daki ilk kurbanlardan ABD ve Kanada finans kuruluşlarına hızla yayıldı.

Crowdstrike'a göre 2021'de bir noktada Danabot, kötü amaçlı yazılımı haftalık milyonlarca indirmeye sahip NPM adlı bir javascript kodlama aracında gizleyen bir yazılım tedarik zinciri saldırısında kullanıldı. Crowdstrike, bu tehlikeye atılmış aracın kurbanlarını finansal hizmet, ulaşım, teknoloji ve medya sektörlerinde buldu.

Siber güvenlik firması Proofpoint'te personel tehdit araştırmacısı olan Selena Larson'a göre, bu ölçek ve suç amaçlı kullanımlarının geniş çeşitliliği, DanaBot'u "e-suç dünyasının bir devi" haline getirdi.

Ancak daha da benzersiz olanı, DanaBot'un zaman zaman devlet destekli veya Rus hükümet ajansı çıkarlarıyla bağlantılı görünen bilgisayar korsanlığı kampanyaları için de kullanılmış olmasıdır. Adalet Bakanlığı'nın iddianamesine göre, 2019 ve 2020'de, görünüşe göre casusluk operasyonlarında bir avuç Batılı hükümet yetkilisini hedef almak için kullanılmıştır. Proofpoint'e göre, bu örneklerdeki kötü amaçlı yazılım, Avrupa Güvenlik ve İşbirliği Teşkilatı'nı ve Kazakistan hükümet kuruluşunu taklit eden kimlik avı mesajlarıyla iletilmiştir.

Daha sonra, Şubat 2022'de başlayan Rusya'nın Ukrayna'ya yönelik tam ölçekli işgalinin ilk haftalarında, DanaBot, enfekte olmuş makinelere dağıtılmış hizmet reddi (DDoS) aracı yüklemek ve Ukrayna Savunma Bakanlığı ile Ukrayna Ulusal Güvenlik ve Savunma Konseyi'nin web posta sunucusuna saldırılar başlatmak için kullanıldı.

Proofpoint'ten Larson, tüm bunların DanaBot'u siber suç kötü amaçlı yazılımının Rus devlet bilgisayar korsanları tarafından nasıl benimsendiğine dair özellikle açık bir örnek haline getirdiğini söylüyor. Larson, "Tarihsel olarak siber suç operatörlerinin Rus hükümet kuruluşlarıyla birlikte hareket ettiğine dair birçok öneri oldu, ancak bu giderek belirsizleşen çizgiler hakkında çok fazla kamu raporlaması yapılmadı" diyor. DanaBot vakası, "oldukça dikkat çekici, çünkü casusluk amaçları için e-suç araçlarının kullanıldığını gördüğümüz bu örtüşmenin kamuya açık kanıtı." diyor.

Cezai şikayette, Mirai botnet'inin yaratıcılarının soruşturmasındaki çalışmalarıyla tanınan eski bir FBI ajanı olan DCIS araştırmacısı Elliott Peterson, DanaBot operasyonunun bazı üyelerinin kendi bilgisayarlarına kötü amaçlı yazılım bulaştırdıktan sonra tespit edildiğini iddia ediyor. Peterson'a göre bu enfeksiyonlar trojan'ı test etme amaçlı olabilir veya kazara olmuş olabilir. Her iki durumda da, DCIS'in daha sonra ele geçirdiği DanaBot altyapısında sözde bilgisayar korsanları hakkında tanımlayıcı bilgilerin bulunmasıyla sonuçlandı. Peterson, "İstemsiz enfeksiyonlar genellikle kötü amaçlı yazılım tarafından oyuncunun bilgisayarından hassas ve tehlikeye atılabilir verilerin çalınması ve DanaBot sunucularında depolanmasıyla sonuçlandı. Bu veriler arasında DanaBot örgütünün üyelerinin tespit edilmesine yardımcı olan veriler de vardı," diye yazıyor.

Crowdstrike'ta tehdit istihbaratı araştırmalarına liderlik eden Adam Meyers, DanaBot operatörlerinin hala serbest olduğunu, ancak Rus kökenli, hem devlet destekli hem de suç amaçlı birçok hacker türünde kullanılan geniş çaplı bir aracın devre dışı bırakılmasının önemli bir dönüm noktası olduğunu söylüyor.

"Çok yıllık bir operasyonu her bozduğunuzda, bunu paraya dönüştürme yeteneklerini etkiliyorsun. Ayrıca biraz boşluk yaratıyor ve başka biri gelip o boşluğu dolduracak," diyor Meyers. "Ancak onları ne kadar bozarsak, onları o kadar arkalarında tutuyoruz. Durulamalıyız ve tekrarlamalıyız ve bir sonraki hedefi bulmalıyız."