Uluslararası kolluk kuvvetleri, dünya genelinde binlerce enfekte web sitesini kullanarak kötü amaçlı yazılım yayan büyük bir siber suç ağını çökertti. 'Operation Endgame' adı verilen küresel soruşturmanın bir parçası olarak gerçekleştirilen operasyon, SocGholish kötü amaçlı yazılım grubunu hedef aldı. Hollanda polisi tarafından 18 Haziran'da duyurulan operasyon kapsamında, SocGholish grubu tarafından kontrol edilen 15.000 web sitesindeki enfeksiyonlar temizlenirken, gruba ait botnet de dağıtıldı.
SocGholish botnet'inin en önemli kullanıcılarından biri, Rusya merkezli kötü şöhretli fidye yazılım ve siber suç grubu Evil Corp'du. Evil Corp, daha önce hükümetler, sağlık kurumları ve işletmeler de dahil olmak üzere dünya çapında birçok yıkıcı fidye yazılım saldırısından sorumlu tutulmuştu. SocGholish, meşru WordPress sitelerine erişmek için bu siteleri hackleyerek veya daha önce sızdırılmış kimlik bilgilerini kullanarak bulaşıyordu. Proofpoint tarafından TA569 olarak izlenen bu grup, ziyaretçilere güncel olmayan yazılımları olduğunu ve güncelleme yapmaları gerektiğini söyleyen sahte pop-up'lar gösteriyordu.
Kullanıcılar 'güncellemeyi' yüklediklerinde kötü amaçlı yazılım bulaşıyor ve SocGholish botnet'ine dahil ediliyordu. Bu botnet, daha sonra diğer kurbanlara fidye yazılımı ve kötü amaçlı yazılım bulaştırmak için kullanılıyordu. Uluslararası operasyon kapsamında SocGholish ile ilişkili 106 sunucu ve alan adı kapatılırken, ele geçirilen web sitelerindeki enfeksiyonlar da temizlendi. Hollanda Ulusal Yüksek Teknoloji Suç Birimi'nden (NHCTU) Maikel Rollman, 'Bu eylemlerle siber suçluların enfekte bilgisayar sistemlerine erişimini engelliyoruz. Bu, dünya çapındaki vatandaşların, işletmelerin ve kuruluşların dijital sistemlerine daha fazla zarar gelmesini önlüyor ve kötü amaçlı yazılımların yayılmasını sınırlıyor' dedi.
Uzmanların Görüşleri
Bir hafta süren koordineli operasyon, NHCTU, Kanada Kraliyet Atlı Polisi (RCMP), Alman Federal Kriminal Polis Ofisi (BKA) ve ABD Federal Soruşturma Bürosu (FBI) tarafından ortaklaşa yürütüldü. Operasyon ayrıca Europol, Eurojust ve siber güvenlik endüstrisi ortaklarından destek aldı. Infoblox Tehdit İstihbaratı Başkan Yardımcısı Dr. Renée Burton, 'SocGholish bir niş tehdit değildir. Faaliyetleri kamu sektörü ve ticari ortamlara derinlemesine nüfuz ederek diğer siber suçluların ağlara erişmesine zemin hazırlıyor' uyarısında bulundu. Ele geçirilen web sitelerinin sahiplerine bilgi verilirken, oturum açma kimlik bilgilerini değiştirmeleri ve siteleri gerekli güvenlik yamalarıyla güncellemeleri istendi.