Siber suçlar, devlet destekli siber savaş ve casusluğun sınırlarının giderek belirsizleştiği bir dönemde, ABD Adalet Bakanlığı önemli bir adım attı. Yetkililer, DanaBot adlı yaygın bir kötü amaçlı yazılım operasyonuyla bağlantılı olduğu iddia edilen 16 Rusya vatandaşını hedef alan cezai suçlamaları duyurdu.
En az 300.000 bilgisayarı enfekte ettiği belirtilen DanaBot, 2018'den bu yana dünya çapında milyonlarca makineye bulaşmış durumda. Başlangıçta bir bankacılık truva atı olarak tasarlanan bu yazılım, kurbanların bilgisayarlarından doğrudan para çalmanın yanı sıra kredi kartı ve kripto para hırsızlığı için de modüler özelliklere sahipti. Ancak yaratıcılarının bunu aylık 3.000 ila 4.000 dolar gibi bir ücret karşılığında diğer hacker gruplarına bir 'ortaklık' modeliyle sattığı iddia ediliyor. Bu sayede DanaBot, fidye yazılımı dahil olmak üzere çok çeşitli siber operasyonlar için farklı kötü amaçlı yazılımların yüklenmesinde bir araç olarak hızla kullanılmaya başlandı.
DanaBot'un kullanım alanları sadece kar amaçlı siber suçlarla sınırlı kalmadı. İddianamede, yazılımın ikinci bir varyantının askeri, hükümet ve sivil toplum kuruluşları gibi hassas hedeflere yönelik casusluk faaliyetlerinde kullanıldığına dair de nadir görülen bir iddia yer alıyor. Yetkililer, DanaBot gibi yaygın kötü amaçlı yazılımların dünya genelinde yüz binlerce kurbana zarar verdiğini, hassas askeri ve diplomatik kurumlar dahil olmak üzere milyonlarca dolarlık kayba neden olduğunu belirtiyor.
2019 ve 2020 yıllarında Batılı hükümet yetkililerine yönelik casusluk operasyonlarında kullanıldığı öne sürülen DanaBot'un, 2022'de Rusya'nın Ukrayna işgalinin ilk haftalarında Ukrayna Savunma Bakanlığı ve Ulusal Güvenlik ve Savunma Konseyi web posta sunucularına yönelik saldırılar başlatmak için de kullanıldığı iddia ediliyor. Bu tür kullanım şekilleri, siber suç araçlarının devlet destekli siber faaliyetlerde nasıl kullanılabildiğine dair somut bir örnek sunuyor.
Soruşturmacılar, DanaBot operasyonuna karışan bazı kişilerin, kötü amaçlı yazılımı kendi bilgisayarlarına bulaştırması sonucu kimliklerinin tespit edildiğini belirtiyor. Bu durumun, yazılımı test etmek amacıyla veya kazara gerçekleşmiş olabileceği düşünülüyor. Ancak sonuç olarak, bu 'kendini enfekte etme' durumu, saldırganlara ait hassas bilgilerin DanaBot sunucularına kaydedilmesine ve daha sonra bu sunucuların yetkililer tarafından ele geçirilmesiyle kimliklerinin ortaya çıkmasına yardımcı oldu.
DanaBot operatörleri hala serbest olsa da, hem devlet destekli hem de adi siber suçlarda kullanılan bu büyük ölçekli aracın altyapısının çökertilmesi, siber güvenlik açısından önemli bir dönüm noktası olarak değerlendiriliyor. Uzmanlar, bu tür operasyonların siber suçluların para kazanma yeteneklerini etkilediğini ve onları sürekli savunma pozisyonunda tuttuğunu, ancak boşalan yerin başka aktörlerce doldurulabileceğini de ekliyorlar.
