Siber güvenlik şirketi ESET, Danabot bilgi hırsızının altyapısını bozma operasyonuna destek sağlıyor. Danabot, bilgi hırsızlığı amacıyla geliştirildi ancak fidye yazılımı dahil olmak üzere ek kötü amaçlı yazılımları dağıtmak için de kullanılıyor.
Danabot’un en çok hedef aldığı ülkeler arasında Polonya, İtalya, İspanya ve Türkiye bulunuyor. ESET Research, zararlı yazılımın altyapısında kesintiye yol açan küresel bir çabanın parçası olarak Danabot’un faaliyetlerini 2018’den bu yana takip ediyor.
ESET, Danabot’un altyapısının kesintiye uğratılmasında ABD Adalet Bakanlığı, FBI ve ABD Savunma Bakanlığı’nın Savunma Kriminal Araştırma Servisi ile birlikte yer aldı. ABD kurumları, Almanya Bundeskriminalamt, Hollanda Ulusal Polisi ve Avustralya Federal Polisi ile iş birliği yaptı. Bu çalışmaya Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru ve Zscaler de katıldı. Danabot’u 2018’den beri takip eden ESET Research, zararlı yazılımın ve arka uç altyapısının teknik analizini yaparak ve Danabot’un C&C sunucularını tanımlayarak destek verdi. ESET, bu süreçte Polonya, İtalya, İspanya ve Türkiye’nin tarihsel olarak en çok hedef alınan ülkelerden olduğunu belirledi. Ortak operasyon, Danabot’un geliştirilmesi, satışı ve yönetiminden sorumlu kişilerin belirlenmesini sağladı.
ESET araştırmacısı Tomáš Procházka, Danabot’un büyük ölçüde etkisiz hale getirildiğini belirtti. Procházka, zararlı yazılımın iş modeline ve bağlı kuruluşlara sunulan araç setine ilişkin bilgiler paylaştıklarını söyledi. Danabot’un hassas verileri sızdırmanın yanı sıra sistemlere fidye yazılımı gibi başka zararlı yazılımlar yüklemek için kullanıldığını gözlemlediklerini ekledi. Procházka, kolluk kuvvetlerinin operasyonlarda yer alan birkaç kişiyi tespit ettiğini ve bunun etki yaratacağını ifade etti.
Danabot’un geliştiricileri, potansiyel iştirakçilere araçlarını kiralayarak, kendi botnet’lerini kurup yönetmelerini sağlıyordu. Geliştiriciler, siber suç amaçlarına yardımcı olmak için çeşitli özellikler tasarladı. Bu özellikler arasında tarayıcılar, posta istemcileri, FTP istemcileri ve diğer yazılımlardan veri çalma, keylogging ve ekran kaydı, sistemlerin gerçek zamanlı uzaktan kontrolü, dosya yakalama (kripto para cüzdanlarını çalmak için kullanılıyor), Zeus benzeri web enjeksiyonları ve form yakalama desteği ve rastgele yükleme ve yürütme yer alıyor. ESET Research, yıllar içinde Danabot aracılığıyla çeşitli yüklerin dağıtıldığını gözlemledi. Ayrıca, Danabot’un fidye yazılımı indirmek için kullanıldığı örnekler de görüldü. Geleneksel siber suçların yanı sıra Danabot, DDoS saldırıları başlatmak gibi daha az geleneksel faaliyetlerde de kullanıldı.
ESET’in gözlemlerine göre Danabot, varlığı süresince birçok siber suçlunun tercih ettiği bir araç oldu ve farklı dağıtım yöntemleri kullanıldı. Geliştiriciler, çeşitli kötü amaçlı yazılım şifreleyicileri ve yükleyicilerinin yazarlarıyla ortaklık kurdu. Google arama sonuçlarındaki sponsorlu linkler arasında görünen ancak zararlı web siteleri, kurbanları Danabot indirmeye ikna etmek için en belirgin yöntemlerden biri olarak öne çıkıyor. Bir diğer yaygın yöntem ise kötü amaçlı yazılımı yasal bir yazılımla paketleyip, sahte yazılım siteleri veya kullanıcıların sahipsiz fonları bulmalarına yardımcı olacağını vaat eden web siteleri aracılığıyla sunmaktır. Sosyal mühendislik tekniklerine, sahte bilgisayar sorunları için çözümler sunan aldatıcı web siteleri de eklendi. Bu siteler, kurbanları panolarına gizlice yerleştirilen kötü amaçlı bir komutu yürütmeye ikna etmeyi amaçlıyor.
Danabot’un iştirakçilerine sağladığı tipik araç seti, bir yönetim paneli uygulaması, botların gerçek zamanlı kontrolü için bir backconnect aracı ve botlar ile gerçek C&C sunucusu arasındaki iletişimi aktaran bir proxy sunucu uygulaması içeriyor. İştirakçiler, farklı Danabot yapıları oluşturma seçeneklerinden birini seçerek, bu yapıları kendi kampanyaları aracılığıyla dağıtıyor.
