Bilgi hırsızı imparatorluğunun çöküşü

Hollanda Ulusal Polisi FBI, Eurojust ve öbür kolluk kuvvetleriyle birlikte gerçekleştirdiği Magnus Operasyonu ile makûs şöhretli RedLine Stealer'ı yakaladı. RedLine Stealer'ın memleketler arası yetkililer tarafından ele geçirilmesinin akabinde ESET araştırmacıları, bu bilgi hırsızının belgelenmemiş art uç modülleri üzerine yaptıkları ve ele geçirme gayretinde kolluk kuvvetlerine yardımcı olan araştırmalarını yayımladı.

ESET araştırmacıları, kolluk kuvvetleriyle iş birliği içinde, 2023 yılında RedLine Stealer'ın ardındaki altyapıyı çalıştırmak için kullanılan çok sayıda modülü topladı. Hollanda Ulusal polisi, FBI, Eurojust ve başka birtakım kolluk kuvvetleriyle birlikte 24 Ekim 2024'te makûs şöhretli RedLine Stealer operasyonunu ve META Stealer isimli klonunu ortadan kaldırdı. Magnus Operasyonu olarak isimlendirilen bu global uğraş, Hollanda'da üç sunucunun kaldırılması, iki alan ismine el konulması, Belçika'da iki kişinin gözaltına alınması ve ABD'de fail olduğu sav edilen bireylerden birine yönelik suçlamaların açığa çıkarılmasıyla sonuçlandı.

ESET, Nisan 2023'te RedLine makûs emelli yazılımının kısmi olarak çökertilmesi operasyonuna katılmış ve berbat hedefli yazılımın denetim paneli için meyyit bırakma çözümleyicileri olarak kullanılan birkaç GitHub deposunun kaldırılmasını sağlamıştı. O sıralarda ESET Araştırma, Flare'deki diğer araştırmacılarla iş birliği içinde bu makus emelli yazılım ailesinin daha evvel belgelenmemiş art uç modüllerini araştırdı. Bu modüller direkt berbat gayeli yazılımla etkileşime girmiyor, bunun yerine kimlik doğrulama sürecini gerçekleştiriyor ve denetim paneli için fonksiyonellik sağlıyor.

RedLine ve META stealer'ları araştıran ESET araştırmacısı Alexandre Côté Cyr  yaptığı açıklamada; "RedLine denetim panellerini barındırmak için kullanılan 1.000'den fazla eşsiz IP adresini tespit edebildik. Birtakım çakışmalar olsa da bu, RedLine MaaS'a abone olanların sayısının 1.000 civarında olduğunu gösteriyor. ESET'in detaylı olarak incelediği RedLine Stealer'ın 2023 sürümleri, bileşenler ortasındaki bağlantı için Windows Bağlantı Çerçevesini kullanırken 2024'teki en son sürüm bir REST API kullanıyor. Kaynak kodu ve art uç örnekleri üzerinde yaptığımız tahlillere dayanarak, RedLine Stealer ve META Stealer'ın tıpkı yaratıcıyı paylaştığını belirledik." dedi.

Bu eşsiz IP adresleri RedLine panellerini barındırmak için kullanıldı. Bu barındırılan panellerden Rusya, Almanya ve Hollanda'nın her biri toplamın yaklaşık yüzde 20'sini oluştururken Finlandiya ve Amerika Birleşik Devletleri'nin her biri yaklaşık yüzde 10'u temsil ediyor. ESET ayrıyeten birden fazla farklı art uç sunucusu tespit edebildi. Coğrafik dağılımlarına nazaran, sunucular çoğunlukla Rusya'da (yaklaşık üçte biri) bulunurken İngiltere, Hollanda ve Çek Cumhuriyeti'nin her biri tespit ettiğimiz sunucuların yaklaşık yüzde 15'ini temsil ediyor.

İlk keşif 2020 yılında

RedLine Stealer, birinci olarak 2020'de keşfedilen bilgi çalan makus gayeli bir yazılımdır ve merkezi olarak işletilmek yerine herkesin çeşitli çevrimiçi forumlardan ve Telegram kanallarından anahtar teslimi bir bilgi çalma tahlili satın alabileceği bir MaaS modelinde çalışır. İştirakçiler olarak isimlendirdiğimiz müşteriler aylık abonelik ya da ömür uzunluğu lisans alabiliyor; paraları karşılığında makus gayeli yazılım örnekleri üreten ve onlar için bir C&C sunucusu vazifesi gören bir denetim paneline sahip oluyorlar. Oluşturulan örnekler, mahallî kripto para cüzdanları; tarayıcılardan çerezler, kayıtlı kimlik bilgileri ve kayıtlı kredi kartı bilgileri; Steam, Discord, Telegram ve çeşitli masaüstü VPN uygulamalarından kayıtlı bilgiler dahil olmak üzere çok çeşitli bilgileri toplayabiliyor. Hazır bir tahlil kullanmak, iştiraklerin RedLine Stealer'ı daha büyük kampanyalara entegre etmesini kolaylaştırıyor. Birtakım değerli örnekler ortasında 2023'te ChatGPT'nin fiyatsız indirilmesi ve 2024'ün birinci yarısında görüntü oyunu hileleri üzere görünmek yer alıyor.

Magnus Operasyonu'ndan evvel RedLine, denetim panelini kullanan çok sayıda iştirakçisiyle en yaygın bilgi hırsızı makus hedefli yazılımlar ortasındaydı. Lakin hizmet olarak makûs emelli yazılım teşebbüsü, kimileri şu anda kolluk kuvvetleri tarafından tespit edilen az sayıda kişi tarafından yönetiliyor üzere görünüyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı