Siber güvenlik şirketi ESET, Danabot bilgi hırsızlığının altyapısını bozma operasyonuna destek veriyor. Danabot, yalnızca bir bilgi hırsızı olarak değil, fidye yazılımı da dahil olmak üzere çeşitli kötü amaçlı yazılımları dağıtmak amacıyla kullanılıyor. Danabot'un özellikle hedef aldığı ülkeler arasında Polonya, İtalya, İspanya ve Türkiye yer almakta. ESET Research, bu zararlı yazılımın altyapısındaki kesintilerin meydana gelmesine neden olan küresel çabaların bir parçası olarak, Danabot'un faaliyetlerini 2018 yılından bu yana izliyor.

ESET, ABD Adalet Bakanlığı, FBI ve ABD Savunma Bakanlığı'nın Savunma Kriminal Araştırma Servisi tarafından yürütülen operasyonlarda, kötü şöhretli Danabot'un altyapısının büyük bir kesintiye uğratılması için iş birliği yaptı. Operasyon, Almanya’nın Bundeskriminalamt, Hollanda'nın Ulusal Polisi ve Avustralya Federal Polisi ile koordineli bir şekilde gerçekleştirilirken, ESET, Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru ve Zscaler gibi çeşitli organizasyonlarla birlikte yer aldı. ESET Research, Danabot'u 2018 yılından bu yana takip ederek, zararlı yazılımın ve arka uç altyapısının teknik analizi ile Danabot'un Komut ve Kontrol (C&C) sunucularının tanımlanmasında yardımcı bulundu. Bu süreçte, Danabot'un hedef aldığı ülkelerden biri olarak Türkiye’nin yanı sıra Polonya, İtalya ve İspanya da dikkat çekti.

Yıllar süren takip sonunda altyapısı çökertildi

Bu kolluk operasyonları, siber suç ağlarının tespit edilmesi, dağıtılması ve yargılanması amacıyla gerçekleştirilen ve halen devam etmekte olan küresel bir girişim olan Endgame Operasyonu çerçevesinde yürütüldü. Europol ve Eurojust'un koordinasyonunda gerçekleştirilen bu operasyon, aynı zamanda kötü niyetli yazılımlar aracılığıyla fidye yazılımı dağıtmak için kullanılan kritik altyapıyı da başarıyla çökertti.

ESET araştırmacısı Tomáš Procházka, "Danabot büyük ölçüde etkisiz hale getirildi, bu nedenle kötü amaçlı yazılımın son sürümlerinde kullanılan özellikler ve yazarların iş modeli hakkında bilgilerimizi paylaşabiliriz. Danabot, yalnızca hassas verileri sızdırmakla kalmayıp, aynı zamanda zaten tehlikede olan sistemlere fidye yazılımı gibi diğer kötü amaçlı yazılımları da sunmak için kullanıldı," ifadesini kullandı. Procházka, Danabot'un yayından kaldırılmasının ardından tekrar toparlanıp toparlanamayacağını göreceklerini, ancak kolluk kuvvetlerinin bazı suçluları yakalamayı başardığını da belirtti.

Danabot'un yazarları, tek bir grup olarak çalışmalarını sürdürmekte, araçlarını potansiyel işbirlikçilere kiralayarak onlara kötü niyetli amaçlar için botnet kurma ve yönetme fırsatı sunuyordu. Danabot, çeşitli kötü amaçlı yazılım geliştiricileriyle ortaklıklar kurarak, kullanıcılara dağıtım paketi sunma konusunda da yardımcı oldu. ESET'in gözlemlerine göre, Danabot'un geliştirilmesi ve dağıtımında kullanılan yöntemler oldukça çeşitlilik gösteriyor. Danabot'un suistimal edilen dağıtım yöntemleri arasında, Google arama sonuçlarındaki sponsorlu bağlantılar ile kullanıcıları kötü amaçlı web sitelerine yönlendirmek ön planda yer alıyor.

Siber suçluların tercih ettiği bir kötü yazılım

ESET, Danabot'un siber suçlular arasında yaygın bir tercih olduğunu ve her grubun farklı dağıtım yöntemleri kullandığını tespit etti. Danabot'un geliştiricileri, sahte yazılım siteleri veya kullanıcıların boş fonlar bulmalarını vaadeden web siteleri aracılığıyla dağıtım yapmanın yanı sıra, aldatıcı web sitelerini kullanarak curbanları hedef aldı. Bu sosyal mühendislik tekniklerinin en sonuncusu, bilgisayar sorunlarına çözümler sağlayan sahte siteler aracılığıyla kullanıcıların kötü amaçlı bir komutu yürütmeye ikna edilmesidir.

Danabot'un yazarları, katılımcılara bir yönetim paneli, botların gerçek zamanlı kontrolü için bir backconnect aracı ve botlar ile gerçek C&C sunucusu arasındaki iletişimi yöneten proxy sunucu uygulaması sağlar. Katılımcıların, yeni Danabot yapılarını kurmak için çeşitli seçenekler arasından seçim yapmaları ve bu yapıların kendi kampanyaları aracılığıyla dağıtılması ise onların sorumluluğundadır.