Çökertildiği duyurulan IPStorm adlı botnet, siber suçluların tüm dünyadaki Windows, Linux, Mac ve Android cihazlar üzerinden anonim olarak kötü niyetli trafik yürütmelerini sağlıyordu. Davayla bağlantılı olarak, Rus-Moldova vatandaşı Sergei Makinin, bilgisayar dolandırıcılığıyla ilgili kendisine yöneltilen üç suçlamayı da kabul etti ve şimdi 10 yıl hapis cezasıyla karşı karşıya.
Aslında IPStorm adlı botnet ağına yönelik operasyonlar geçtiğimiz yıl Aralık ayında başlamış ve Sergei Makinin, Ocak ayında Florida’da kelepçelenerek Porto Riko’ya gönderilmiş. Makinin ilk duruşmaların ardından savcılık makamıyla yapılan müzakereler sonucu Eylül ayında suçunu kabul etmiş. Dün ise Makinin’in davası sonuçlandı ve Makinin özellikle, korunan sistemlere kasıtlı olarak zarar veren bilgisayar yazılımlarını bilerek iletmeyi yasadışı kılan ABD yasalarını ihlal etmekten üç kez suçlu bulundu.
Makinin, 2019 yılında, InterPlanetary File System (IPFS) eşler arası (P2P) ağını kötüye kullandığı için IPStorm olarak bilinen bir botnet oluşturduğunu itiraf etti. IPFS, bir P2P ağında veri depolamaya ve paylaşmaya olanak tanıyan merkezi olmayan, dağıtılmış bir dosya sistemi. İlk olarak o yılın Mayıs ayında keşfedilen IPStorm, faaliyetlerini maskelemek ve kendisini meşru IPFS trafiği arasında gizlemek için IPFS’yi sırtlayan kendi P2P protokolünü kullandı.
IPStorm botnet ağı nasıl çalışıyordu?
Yapılan teknik analizlerde IPStorm’un bilgisayarlara bulaşan ve daha sonra IPFS’nin üzerine oturan ve operatöründen keyfi PowerShell kodu almak ve çalıştırmak için bu ağı kullanan Windows kötü amaçlı yazılımı olduğu saptandı. Böylece ele geçirilen makinelere potansiyel olarak her türlü kötü niyetli şeyi gerçekleştirmeleri talimatı verilebiliyordu.
Adalet Bakanlığı bugün Makinin’in suçunu kabul etmesiyle ilgili yaptığı açıklamada, “Botnet ağının temel amacı, virüs bulaşmış cihazları kar amaçlı bir planın parçası olarak proxy’lere dönüştürmek ve bu proxy’lere Makinin’in web siteleri aracılığıyla erişim sağlamaktı. Makinin bu web siteleri aracılığıyla, İnternet faaliyetlerini gizlemek isteyen müşterilere virüslü, kontrollü cihazlara gayrimeşru erişim sattı” diyor.
ABD Adalet Bakanlığı ilgili botnet ağının önce Windows için oluşturulduğunu ancak daha sonra Mac, Linux ve Android cihazları hedef alacak şekilde genişletildiğini bildiriyor. Ancak Makinin’in botnet ağını veri çalmak ya da fidye almak için kullanmak yerine, başkalarından gelen trafiği yönlendirilebileceği bir dizi proxy olarak kullanmasına izin vererek ve orijin trafik bağlantılarının kaynağını gizleyerek para kazandığı anlaşılıyor. Botnet bu sayede müşterilerini virüslü bilgisayar ve sunucuların arkasına saklayarak kötü amaçlı siber yazılımların anonim olarak çevrimiçi faaliyet göstermelerine etkili bir şekilde yardımcı oldu. IPStorm’un SSH sunucularına yapılan kaba kuvvet saldırıları (brute-force attack) yoluyla insanların cihazlarına girdiği söyleniyor.
Kaba kuvvet (brute-force) saldırısı nedir?
Kaba kuvvet saldırısı, sonunda doğru şifreyi bulma umuduyla deneme yanılma yönetimi kullanarak bir parola veya kullanıcı adını ele geçirme, gizli bir web sayfasını bulma ya da bir mesajı şifrelemek için kullanılan anahtarı arama girişimidir. Bu, eski ancak hâlâ etkili ve korsanlar arasında popüler bir saldırı yöntemi olarak dikkat çekiyor.
ABD Adalet Bakanlığı’na göre Manikin, yeraltı proxy ağını 23.000’den fazla virüslü dağıtım noktasına sahip bir ağ olarak pazarladı ve Haziran 2019 ile Aralık 2022 arasında bu faaliyetten “en az” 550.000 dolar kazandı. Yapılan açıklamada FBI’ın Makinin’in suçunu kabul etmesi için yaptığı anlaşmanın bir parçası olarak ağı dağıttığını söyledi. FBI geçtiğimiz aylarda da zararlı yazılım Qakbot’un kontrolündeki 700 binden fazla bilgisayardan oluşan devasa botnet ağını hedef alan bir operasyon düzenlemişti.
Botnet ağı nedir, neden tehlikeli?
Botnet, uzaktan yönetilen ve kötü amaçlı yazılım bulaşmış çok sayıda bilgisayarın oluşturduğu ağı tanımlar. Sahibinin bilgisi olmadan uzaktan yönetilebilen bu bilgisayarlara bilişim çevrelerinde zombi makineler de denir. Botnetlerin internette fidye yazılımlarından daha büyük bir tehdit oluşturmasının nedeni, siber suçluların bunlar aracılığı ile neredeyse her görevi %100’lük bir gizlenme başarı oranı ile yürütebilmesidir.
Güvenlik uzmanlarına göre botnetler sadece etkiledikleri bilgisayarların sahibine zarar vermezler, istenmeyen e-posta (spam), dolandırıcılık mesajları ve hatta fidye yazılımları gönderebilirler, DDoS saldırıları düzenleyebilir ve reklam ağlarını aldatabilirler. Bunların hepsi tüm e-posta trafiğinin %50-70 arasında spam olarak gerçekleşmesine neden olur. Bunun yanında e-posta eklentilerinin neredeyse %85’i fidye yazılımı içerir.
