Küresel siber suçlarla mücadelede tarihi bir adım atıldı. Operation Endgame kapsamında yürütülen uluslararası polis operasyonu, binlerce WordPress sitesini ele geçirerek milyonlarca kullanıcıya kötü amaçlı yazılım bulaştıran SocGholish botnetini çökertti. Hollanda polisinin 18 Haziran'da duyurduğu operasyonda, SocGholish grubunun kontrolündeki 15.000 web sitesi temizlenirken, gruba ait 106 sunucu ve alan adı kapatıldı. Bu operasyon, özellikle Evil Corp gibi büyük fidye yazılım gruplarına hizmet veren bir altyapının dağıtılması açısından büyük önem taşıyor.
SocGholish botneti, siber güvenlik dünyasında TA569 olarak da bilinen bir tehdit aktörü tarafından yönetiliyor. Proofpoint'in detaylı analizine göre, saldırganlar ele geçirilmiş veya sızdırılmış kimlik bilgilerini kullanarak meşru WordPress sitelerine erişiyor. Ardından bu sitelere, ziyaretçilere 'yazılımınız güncel değil, güncelleme yapmalısınız' şeklinde sahte pop-up reklamlar yerleştiriyorlardı. Kullanıcı bu 'güncellemeyi' yüklediğinde aslında bilgisayarına kötü amaçlı yazılım bulaşıyor ve cihazı SocGholish botnetinin bir parçası haline geliyordu.
Bu botnetin en dikkat çekici özelliklerinden biri, Evil Corp ile olan sıkı bağlantısıydı. Rusya merkezli Evil Corp, dünya genelinde hükümetlere, sağlık kurumlarına ve büyük şirketlere yönelik yıkıcı fidye yazılımı saldırılarıyla tanınıyor. SocGholish botneti, Evil Corp'un kötü amaçlı yazılımlarını ve fidye yazılımlarını kurbanlara ulaştırmak için bir dağıtım ağı olarak kullanılıyordu. Bu nedenle operasyon, sadece bir botneti değil, aynı zamanda büyük bir siber suç ekosisteminin kritik bir bileşenini hedef aldı.
Önemli Gelişmeler
Operasyon, Hollanda Ulusal Yüksek Teknoloji Suç Birimi (NHCTU), Kanada Kraliyet Atlı Polisi (RCMP), Alman Federal Kriminal Polis Ofisi (BKA) ve ABD Federal Soruşturma Bürosu (FBI) tarafından ortaklaşa yürütüldü. Europol ve Eurojust'ın yanı sıra Infoblox, Proofpoint gibi siber güvenlik endüstrisi ortakları da operasyona destek verdi. NHCTU'dan Maikel Rollman, 'Bu eylemlerle siber suçluların enfekte bilgisayar sistemlerine erişimini engelliyoruz. Bu, dünya çapında vatandaşların, işletmelerin ve kuruluşların dijital sistemlerine daha fazla zarar gelmesini önlüyor ve kötü amaçlı yazılımların yayılmasını sınırlıyor' dedi.
Teknik Analiz
Infoblox Tehdit İstihbaratı Başkan Yardımcısı Dr. Renée Burton, SocGholish'in bir niş tehdit olmadığını vurguladı: 'SocGholish'in faaliyetleri kamu sektörü ve ticari ortamlara derinlemesine nüfuz ediyor ve diğer siber suçluların ağlara erişmesi için yol açıyor.' Operasyon kapsamında ele geçirilen web sitelerinin sahipleri bilgilendirildi ve şifrelerini değiştirmeleri, sitelerini gerekli güvenlik yamalarıyla güncellemeleri istendi. WordPress site sahiplerine ayrıca güçlü parolalar kullanmaları, düzenli güncelleme yapmaları ve iki faktörlü kimlik doğrulama gibi ek güvenlik önlemleri almaları tavsiye edildi.
Sistem Güvenliği
Bu operasyon, Operation Endgame'in başlangıcı olarak nitelendiriliyor. Yetkililer, SocGholish'e karşı daha fazla eylem planladıklarını ve bu tür botnetlerin küresel siber güvenlik için oluşturduğu tehditleri ortadan kaldırmak için çalışmaların devam edeceğini belirtiyor. Kullanıcıların, özellikle WordPress tabanlı siteleri ziyaret ederken dikkatli olmaları, şüpheli güncelleme bildirimlerine karşı tetikte olmaları ve güvenlik yazılımlarını güncel tutmaları önemle tavsiye ediliyor.
Kaynak: infosecurity-magazine.com