Fransa polis güçleri, virüs bulaşmış olan bir milyona yakın bilgisayarı kontrol altına alan dev bir kripto para birimi ele geçirerek etkisiz hale getirdi. Bu durum bir botnet’in uzaktan müdahale edilmesine kapatılması bakımından oldukça büyük bir önem arz ediyordu.
Retadup adındaki zararlı program, bilgisayarlara bulaşarak herhangi bir bilgisayarın işlemcisini kripto para madenciliği yapmak için kullanım aşamasına geçiyor. Kötü amaçlı hazırlanmış olan program, temelinde para kazanmak suretiyle kullanılmış olmasına karşın bu tip zararlı programlar, çok kolay bir şekilde fidye yazılımı veya casus yazılım gibi diğer kötü amaçlı kodları da aktif hale getirebiliyor.
Kötü amaçlı program, bunların yanında bilgisayarlardan bilgisayarlara yayılmasına imkan tanıyan kayda değer tehlikeli içeriklere de sahip. Retadup, ilk kez meydana çıkmasından bu yana Rusya, ABD, Orta ve Güney Amerika’da dahil olmak suretiyle dünyanın tamamına yayılmış durumda.
Avast, Retadup’u etkisiz hâle getirdi:
Yılların güvenlik şirketi olarak bilinen Avast ise bahsi geçen bu casus yazılımı etkisizleştirdiklerini bir blog sayfasında yer alan yazılarında duyurdu. Avast, kötü amaçlı hazırlanan bu programın kontrol ve komut sunucusunda yer alan bir yazılım hatasını tespit ettikten sonra bu yazılıma müdahale de bulunmak için konuya dahil oldu.
Güvenlik şirketi, bu kötü amaçlı hazırlanmış olan programın kurbanların bilgisayarlarına sızarak bu kötü amaçlı yazılımı yok edeceklerdi fakat Avast, bu işlemi gerçekleştirebilmek için yeterli sayıda yasal prosedüre sahip değildi. Kötü amaçlı programın altyapı çoğunluğu Fransa’da yer aldığından Avast, Fransız polisi ile irtibat haline geçti.
Temmuz ayından itibaren çalışmalarında hız kesmeyen Fransız polis güçleri, etkilenen bilgisayarları temizleme ve sunucuyu kontrol altına alabilmek için bazı operasyonlar düzenledi. Fransız polisinin düşüncesine göre, Retadup, dünyanın en kapsamlı botnet ağı olduğunu belirmektedir.
Araştırma ekibi; kötü amaçlı program kullanıcıları tarafından anlaşılmaması için çok dikkatli bir şekilde ilerlemek zorunda olduklarını, kötü amaçlı program kullanıcılarının misilleme yapabileceklerinden çekindiklerini belirtiler. Güvenlik firması, “Kötü amaçlı program tasarımcıları, çoğu zaman güzel bir pasif gelir sağlayarak kripto para madenciliği yapmaktaydı ancak Retadup’u tamamen yok etmek üzere olduğumuzu farkederlerse kötü amaçlı programlarını büyük vurdun yapmak için yüzbinlerce bilgisayara yayarak fidye yazılım programı gönderme imkanları olurdu” ifadelerini kullandı.
Botnet, sunucularda yer alan bir açık sayesinde imha edildi:
Fransız polisi, kötü niyetli kontrol ve komut sunucusunu Retadup’un kendi kendini yok etme sebeplerini birbirine bağlı tutan hazır bir dezenfeksiyon sunucuyla yer değiştirildi. Etkinliğin ilk anlarında, sunucu bölümünden komut alabilmek için binlerce robot bağlantı kurdu. Dezenfeksiyon sunucu bağlanan robotlara cevap verdi ve onları dezenfekte altına alarak protokol tasarım hatasını kötü amaçlı kullmadı. Bunu gerçekleştirerek firma, kötü amaçlı program çalışmalarının önüne geçebildi ve kötü amaçlı kodu yaklaşık 850.000 virüslü bilgisayardan temizlemeyi başardı.