Europol’den Dev Operasyon: “Operation Endgame” ile Üç Büyük Zararlı Yazılım Ağı Çökertildi!
Europol, günümüzün en aktif ve en tehlikeli zararlı yazılım (malware) operasyonlarından bazılarının faaliyetlerini sekteye uğratmak amacıyla başlattığı “Operation Endgame“in (Son Oyun Operasyonu) en son fazlasını duyurdu. Bu koordineli saldırı, siber suç altyapısına ağır bir darbe vurdu.
Europol’ün web sitesinde yayınlanan bir basın açıklamasına göre, 10-13 Kasım tarihleri arasında, bir avuç Avrupa ülkesinin ulusal kolluk kuvvetleriyle birlikte, Rhadamanthys, VenomRAT ve Elysium adlı üç büyük zararlı yazılım ağına karşı operasyon düzenlendi.
Operasyonun Bilançosu: 1.000+ Sunucu Kapatıldı
Bu son faaliyetlerin sonuçları, operasyonun ciddiyetini ortaya koyuyor:
- 1.000’den fazla sunucu ya kapatıldı ya da faaliyetleri sekteye uğratıldı.
- 20 alan adına (domain) el konuldu.
- 11 lokasyonda (Almanya ve Yunanistan’da birer, Hollanda’da dokuz) arama yapıldı.
- 1 kişi, VenomRAT’ı yönettiği şüphesiyle tutuklandı.
Çökertilen Altyapının İçinden Ne Çıktı?
Europol, çökertilen bu altyapının “milyonlarca çalınmış kimlik bilgisi içeren yüz binlerce virüslü bilgisayardan” oluştuğunu açıkladı. Bu, siber suçluların devasa bir veri havuzuna sahip olduğunu gösteriyor.
Daha da endişe verici olanı, Europol’ün, kurbanların çoğunun hedeflendiklerinden bile habersiz olduğunu eklemesi. Ayrıca, “infostealer” (bilgi hırsızı) yazılımının arkasındaki ana şüphelinin, potansiyel olarak milyonlarca dolar değerinde “100.000’den fazla kripto cüzdanına” erişimi olduğu belirtildi.
Haber, bağımsız güvenlik araştırmacılarının, “Rhadamanthys” adlı bilgi hırsızının kullanıcılarının platformdan kilitlendiğini görmesiyle, iki gün önce sızmıştı. Bu kullanıcılar ve operatörler, kesintiden Alman yetkilileri sorumlu tutmuş ve kullanıcılarını “izlerini örtmeleri” konusunda uyarmıştı.
Bitmeyen Savaş: “Köstebek Vurmaca”
“Operation Endgame”, siber suç altyapısına yönelik sürekli bir operasyonun parçası. Operasyonun bir önceki büyük faaliyeti, Europol ve Eurojust’un bir fidye yazılımı “öldürme zincirini” (kill chain) parçaladığı Mayıs 2025‘te gerçekleşmişti. O operasyonda polis, yaklaşık 300 sunucuya el koymuş, 650 alan adını kapatmış, 20 kişi hakkında uluslararası tutuklama emri çıkarmış ve 3.5 milyon Euro değerinde çeşitli kripto para birimlerine el koymuştu.
Ancak, zararlı yazılım operasyonlarını çökertmek takdire şayan olsa da, uzmanların ortak bir endişesi var: Tutuklamalar olmadan, bu grupların yeniden ortaya çıkması sadece bir zaman meselesi.
Mayıs ayında çökertilen operasyonlardan biri olan DanaBot, bu durumun en acı örneği. DanaBot, operasyondan sadece altı ay sonra, altyapısını yeniden inşa etmiş ve çalınan fonları aktarmak için yeni kripto cüzdanları edinmiş olarak yeniden ortaya çıktı.
Operation Endgame aracılığıyla faaliyetleri kesintiye uğratılan diğer büyük zararlı yazılım operasyonları arasında IcedID, Smokeloader, Qakbot ve Trickbot gibi endüstrinin en korkulan isimleri de bulunuyor.
Techneiro Analizi: Neden Sadece Sunucuları Kapatmak Yetmiyor? “Hidra” Sorunu
Europol’ün “Operation Endgame” ile yürüttüğü bu mücadele, modern siber suçun doğasını anlamak için mükemmel bir vaka çalışmasıdır. Bu, bir “köstebek vurmaca” oyunundan çok, mitolojik Hidra ile savaşmaya benzer: Bir başı kesersiniz (bir sunucuyu kapatırsınız), ancak yerinde iki yenisi çıkar (iki yeni sunucu kurulur).
1. “Malware-as-a-Service” (MaaS) Modeli: Rhadamanthys, Trickbot veya Qakbot gibi modern zararlı yazılımlar, tek bir kişi tarafından yönetilen monolitik yapılar değildir. Bunlar, “Hizmet Olarak Zararlı Yazılım” (MaaS) modeliyle çalışan, milyar dolarlık suç “şirketleridir”. Bu şirketlerin;
- Çekirdek Geliştiricileri (Yazılımı yapanlar),
- Altyapı Operatörleri (Sunucuları yönetenler),
- “Müşterileri” / “İştirakleri” (Affiliates) (Yazılımı kiralayıp saldırıları gerçekleştirenler) vardır.
Europol’ün 1.000 sunucuyu kapatması, bu iş modelinin sadece “altyapı” ayağına darbe vurur. Bu, bir uyuşturucu kartelinin “laboratuvarını” basmaya benzer. Önemlidir, ancak “patronlar” (çekirdek geliştiriciler) ve “satıcılar” (iştirakler) serbest kaldığı sürece, yeni bir laboratuvar kurmak sadece zaman ve para meselesidir. DanaBot‘un altı ayda geri dönmesi, tam olarak bu iş modelinin esnekliğinin bir kanıtıdır.
2. Asıl Zafer: 1 Tutuklama > 1.000 Sunucu Bu haberdeki en önemli detay, 1.000 sunucunun kapatılması değil, “bir kişinin tutuklanması” ve “11 lokasyonda arama yapılması”dır. Sunucular, dijital ve geçicidir; kolayca değiştirilebilirler. Ancak, bu 11 lokasyondan ele geçirilen fiziksel sabit diskler, cüzdanlar, defterler ve bilgisayarlar, bu suç ağlarının “insan” tarafına, yani operatörlere ve geliştiricilere giden somut kanıtlardır.
VenomRAT operatörünün tutuklanması, bu operasyonun gerçek zaferidir. Çünkü bu tutuklama, zincirin bir halkasını kalıcı olarak kırar ve bu kişinin sorgulanmasıyla, diğer operatörlerin de yakalanmasının önünü açar.
3. “Korku” ve “Panik” Faktörü: Sunucu kapatmaların asıl amacı, suçluları teknik olarak engellemekten çok, onları psikolojik olarak çökertmektir. Rhadamanthys operatörlerinin, kullanıcılarına “izlerinizi örtün” diye panik içinde mesaj atması, operasyonun başarılı olduğunu gösterir. Bu panik, suçluları hata yapmaya, parayı aceleyle aklamaya çalışmaya veya birbirlerine ihanet etmeye iter. Kolluk kuvvetleri de tam olarak bu hataları bekler.
Sonuç: “Operation Endgame”, bir “son” değildir; adı üstünde, bu suç ekosistemlerini sürdürülemez hale getirmeyi amaçlayan, uzun vadeli, yıpratıcı bir istihbarat ve kesinti kampanyasıdır. DanaBot’un geri dönüşü bir başarısızlık değil, bu savaşın doğasının bir gerçeğidir. Asıl mücadele, her seferinde daha hızlı geri dönmelerini engellemek ve o 1 tutuklamayı, 100 tutuklamaya çıkarmaktır.
Sizce kolluk kuvvetlerinin bu “sunucu kapatma” operasyonları, siber suçla mücadelede etkili bir yöntem mi? “DanaBot” gibi çetelerin bu kadar hızlı geri dönebilmesi, bu savaşın kaybedildiğini mi gösteriyor? Düşüncelerinizi yorumlarda bizimle paylaşın!
Dijital dünyada güvende kalmanızı sağlayacak en son siber güvenlik tehditleri, korunma yöntemleri ve gizlilik ipuçları için techneiro.com‘u takip etmeye devam edin!
