Siber güvenlik şirketi ESET, Danabot bilgi hırsızlığının altyapısını bozma operasyonuna destek veriyor. Danabot, bilgi hırsızlığı amacıyla geliştirilen ve fidye yazılımlarını da dağıtmak için kullanılan bir kötü amaçlı yazılım. Bu zararlı yazılım, en çok Polonya, İtalya, İspanya ve Türkiye gibi ülkeleri hedef alıyor. ESET Research, Danabot'un faaliyetlerini 2018 yılından bu yana takip etmekte ve zararlı yazılımın altyapısında büyük bir kesintiye yol açacak global çabaların bir parçası olarak önemli bulgular paylaşmaktadır.

ESET, ABD Adalet Bakanlığı, FBI ve ABD Savunma Bakanlığı'nın Savunma Kriminal Araştırma Servisi ile iş birliği yaparak Danabot'un altyapısını çökertmeye yönelik geniş kapsamlı bir operasyon yürüttü. Amerika'daki bu kurumlar, Almanya'nın Bundeskriminalamt'ı, Hollanda'nın Ulusal Polisi ve Avustralya Federal Polisi ile yakın iş birliği içerisinde çalıştı. ESET, bu operasyonda Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru ve Zscaler gibi önemli şirketlerle birlikte yer aldı. Danabot'u detaylı bir şekilde inceleyen ESET Research, zararlı yazılımın teknik analizinin yanı sıra C&C sunucularının tanımlanmasında da katkı sağladı. Bu süreçte Polonya, İtalya, İspanya ve Türkiye'nin Danabot saldırılarından en çok etkilenen ülkeler olduğunu tespit etti.

Yıllar süren takip sonunda, siber güvenlik ekipleri Danabot'un altyapısını çökertmeyi başardı. Operasyon, Europol ve Eurojust tarafından koordine edilen ve siber suç ağlarının tespit edilmesi, dağıtılması ve yargılanmasını hedefleyen Endgame Operasyonu çerçevesinde gerçekleştirildi. Bu çaba, fidye yazılımları ve diğer kötü amaçlı yazılımların dağıtımında kullanılan kritik altyapının çökertilmesiyle sonuçlandı.

ESET araştırmacısı Tomáš Procházka, "Danabot büyük ölçüde etkisiz hale getirildiği için bu fırsatı kullanarak kötü amaçlı yazılımların en son sürümlerindeki özellikleri, yazarların iş modelini ve bunlara sunulan araç setini paylaşıyoruz. Danabot'un sadece hassas verileri çalmadığını, aynı zamanda fidye yazılımı da dahil olmak üzere başka kötü amaçlı yazılımlar sunduğunu gözlemledik. Danabot'un ortadan kaldırılmasından sonra ne olacağını göreceğiz; fakat kolluk kuvvetlerinin operasyonlarda yer alan birkaç kişinin maskesini düştüğünden, bu darbenin hissedileceği kesin." dedi.

Danabot'un yazarları, tek bir grup olarak işlev gördü ve potansiyel iş ortaklarına araç kiralayarak onlara yardımcı oldular. Danabot'un en önemli özellikleri arasında, tarayıcılardan, e-posta istemcilerinden ve FTP istemcilerinden veri çalma yetenekleri, keylogging, ekran kaydı, kurbanların sistemlerine gerçek zamanlı uzaktan erişim, dosya yakalama gibi işlevler yer alıyor. ESET, yıllar içerisinde Danabot aracılığıyla farklı kötü amaçlı yazılımların dağıtıldığını ve fidye yazılımlarının zaten tehlikede olan sistemlere indirildiği örneklerle karşılaştı. Bunun yanı sıra, Danabot'un DDoS saldırıları başlatmak için ele geçirilmiş makineleri kullandığı belirtiliyor, örneğin Rusya'nın Ukrayna'yı işgalinden hemen sonra Ukrayna Savunma Bakanlığı'na yapılan DDoS saldırısı gibi.

ESET'in gözlemlerine göre, Danabot mevcut olduğu süre boyunca birçok siber suçlu tarafından tercih edilen bir araç haline geldi. Geliştiricileri, çeşitli kötü amaçlı yazılım şifreleyici ve yükleyici yazarlarıyla iş birliği yaparak, iş ortaklarına dağıtım için özel fiyatlar sunuyor. Son zamanlarda, Danabot'un dağıtımında en belirgin yöntem ise Google arama sonuçlarında görünen sponsorlu bağlantılar üzerinden kötü amaçlı web sitelerine yönlendirmek olarak öne çıkmakta. En yaygın yöntemlerden biri, kötü amaçlı yazılımı yasal yazılımla birlikte paketleyip sahte yazılım siteleri aracılığıyla sunmak. Ek olarak, kullanıcıların bilgisayar sorunlarına sahte çözümler sunan aldatıcı web siteleri de kurbanları hedef almakta, bunlar kullanıcıların sistemlerine gizlice kötü amaçlı komutlar yüklemeye çalışıyor.

Danabot'un yazarlarına sunulan tipik araç seti, bir yönetim paneli uygulaması, botların gerçek zamanlı kontrolü için bir backconnect aracı ve botlar ile gerçek C&C sunucusu arasındaki iletişimi aktaran bir proxy sunucu uygulaması içeriyor. Katılımcılar, yeni Danabot yapıları oluşturup bunları kendi kampanyalarıyla dağıtmakla sorumlular.