Türkiye’yi de Etkileyen Simda Botnet’ini Dağıtmak İçin Uluslararası Operasyon Gerçekleşti

Türkiye’yi de Etkileyen Simda Botnet’ini Dağıtmak İçin Uluslararası Operasyon Gerçekleşti

Paylaş

kaspersky_globaltechmagazineKüresel siber suç tehdidine karşı mücadelede önemli bir adım atıldı. Küresel bir operasyonla, dünyadaki virüs bulaşmış binlerce bilgisayardan oluşan bir ağ olan Simda botneti dağıtıldı. Kaspersky Lab, Türkiye’yi de etkileyen Simda Botnet’ini dağıtmak İçin INTERPOL ile güçlerini birleştirdi.

9 Nisan Perşembe günü eşzamanlı olarak gerçekleştirilen bir dizi eylemle, Hollanda’da 10 adet komut ve kontrol sunucusu ele geçirildi, ABD, Rusya, Lüksemburg ve Polonya’da da bazı sunucular kapatıldı. Operasyona, Hollanda’daki Hollanda Ulusal Yüksek Teknoloji Suç Birimi (NHTCU), ABD’li Federal Araştırma Bürosu (FBI), Lüksemburg’daki Police Grand-Ducale Section Nouvelles Technologies ve Moskova’daki INTERPOL Ulusal Merkez Bürosu tarafından desteklenen Rus İçişleri Bakanlığı Siber Suç Bölümü “K” yetkilileri dahil oldu.

Bu operasyonun, botnetin işleyişini önemli derecede bozması bekleniyor. Bu operasyon, yasa dışı çalışmalarına devam etmek niyetinde olan siber suçlular için maliyet ve riskleri artıracak ve kurbanların bilgisayarlarının kötü niyetli düzenin bir parçası olmasını engelleyecek.

Simda, yasa dışı yazılımları ve finansal kimlik bilgilerini çalabilme yeteneğine sahip olanlar dahil olmak üzere farklı kötü amaçlı yazılım türlerini dağıtmak için kullanılan “pay-per-install” (yükleme başına ödeme) türünden bir zararlı yazılım. Pay-per-install modeli, siber suçluların para kazanmak için virüs bulaştırılan bilgisayarlara erişim hakkını, sonrasında bu bilgisayarlara ilave programlar yükleyen diğer suçlulara satmasına izin veriyor.

Simda, açıklardan yararlanma kitlerine yönlendirme yapan bir dizi virüslü web sitesine dağıtılıyor. Saldırganlar, meşru web sitelerinin/ sunucularının gizliliğini bozarak ziyaretçilere sunulan web sayfalarının kötü niyetli kodlar içermesini sağlıyor. Kullanıcılar bu sayfalara göz atarken kötü niyetli kod, açıklardan yararlanma sitesindeki içeriği sessizce yükler ve güncellenmemiş bilgisayarlara bulaşıyor.

Türkiye’yi de etkiledi

Simda botneti, en kötü etkilenenleri ABD, İngiltere, Rusya, Kanada ve Türkiye olmak üzere 190’ın üzerinde ülkede görüldü. Bu bot’un dünya çapında 770.000 bilgisayara bulaşmış olduğu ve kurbanların büyük çoğunluğunun ABD’de bulunduğu düşünülüyor (2015’in başından bu yana 90.000’den fazla yeni bulaşma).

Yıllardır aktif olan Simda, tespit edilmesi zorlaşan ve birkaç saatte bir dağıtılan yeni sürümleri ile herhangi bir güvenlik açığından yararlanabilmek konusunda her geçen gün daha iyi bir duruma gelmekte. Şu anda Kaspersky Lab’ın virüs koleksiyonu, Simda kötü amaçlı yazılımının farklı sürümlerine ait 260.000’den fazla yürütülebilir dosya içeriyor.

Suç faaliyetlerine, bağlı iş ortaklarını ücretlendiren bir iş modeli uygulayan kişiler olan Simda botnetin arkasındaki aktörlerin belirlenebilmesi için bilgi ve istihbarat toplanmaya başlanmıştır.

INTERPOL Dijital Suç Merkezi Direktörü Sanjay Virmani şunları söyledi: “Bu başarılı operasyon, küresel siber suç tehdidine karşı mücadelede ulusal ve uluslararası çapta emniyet teşkilatlarını ve özel teşekkülleri içeren ortaklıklara ihtiyaç duyulduğunu ortaya koymakta ve bunun değerini vurgulamaktadır. Operasyon, Simda botnete önemli bir darbe vurmuştur. INTERPOL, vatandaşlarını siber suçlulara karşı koruyabilmeleri için üye ülkelere yardımcı olmaya ve gelişmekte olan diğer tehditleri tanımlamak amacıyla çalışmalarına devam edecektir. ”

Kaspersky Lab Baş Güvenlik Araştırmacısı ve geçici olarak INTERPOL için çalışan Vitaly Kamluk ise şunları ekledi: “Botnetler coğrafi olarak dağıtılan ağlardır ve böylesi bir tehditle başa çıkmak genelde zorlu bir iştir. Hem özel hem de kamu sektörünün ortak çabası bu nedenle oldukça önemlidir; her iki taraf da ortaklaşa yürütülen bu projeye önemli katkılar sağlar. Bu olayda Kaspersky Lab’ın rolü, bot’un teknik analizini çıkarmak, Kaspersky Güvenlik Ağı’ndan botnet telemetrisini toplamak ve tehdidi devirme stratejileri konusunda danışmanlık vermek idi.”

Bu operasyonun sonucunda, suçlular tarafından virüslü makinelerle iletişim kurmak için kullanılan komut ve kontrol sunucuları kapatılmıştır. Ancak, bazı virüslerin hala mevcut olduğunu belirtmek gerekiyor. Kurbanların bilgisayarlarını bulaşmadan temizlemesine yardımcı olmak amacıyla Kaspersky Lab özel bir IP’ni kontrol et web sitesi oluşturdu. Burada kullanıcılar, IP’lerinin aktif olarak ya da geçmişte Simda komut ve kontrol sunucuları üzerinde bulunup bulunmadığını öğrenebilirler. Bu IP adresleri, sunucuları kapatma işleminin sonucunda kullanılabilir hale gelmiş.