Aeternum C2 İle Tanışın: Kapatılamayan Blockchain Tabanlı Botnet Tehlikesi

Yıllar boyunca, bir botneti çökertmek demek onun komuta ve kontrol (C2) sunucusunu bulmak, alan adına el koymak ve ağın kararmasını izlemek anlamına geliyordu. Güvenlik güçleri Emotet, TrickBot ve QakBot gibi büyük operasyonları bu yöntemle dağıttı. Ancak siber güvenlik dünyasında kurallar yeniden yazılıyor. Aeternum C2 adı verilen yeni bir botnet yükleyicisi, tüm talimatlarını herhangi bir sunucuda değil, doğrudan Polygon blockchain ağında saklayarak geleneksel savunma yöntemlerini etkisiz hale getiriyor.

Blockchain Tabanlı Komuta ve Kontrol (C2) Altyapısı

Aeternum C2'nin komutları, dünya çapında binlerce düğümde kopyalanan halka açık bir ağ olan Polygon üzerindeki akıllı sözleşmelerin (smart contracts) içine yerleştirilmiş durumda. El konulacak tek bir sunucu veya askıya alınacak bir alan adı olmadığı için, yetkililer ne yaparsa yapsın bu altyapı erişilebilir kalmaya devam ediyor.

• Gelişmiş Dayanıklılık: Qrator Labs analistleri tarafından keşfedilen bu sistem, doğrudan C++ ile yazılmış ve hem 32 bit hem de 64 bit mimarilerde çalışabiliyor.
• Düşük Maliyet: Sadece 1 dolarlık MATIC (Polygon'un yerel tokeni) ile 100 ila 150 arasında komut işlemi gerçekleştirilebiliyor. Sunucu veya alan adı maliyeti tamamen ortadan kalkıyor.
• Hızlı Güncelleme: Aktif botlar, geleneksel eşler arası (P2P) botnetlerden çok daha hızlı bir şekilde, iki ila üç dakika içinde yeni talimatları alabiliyor.

Tespit Edilemeyen Yönetim ve Gelecekteki Tehditler

Siber saldırganlar, her şeyi web tabanlı bir kontrol panelinden yönetiyor. Bu arayüz üzerinden bir akıllı sözleşme seçiliyor, komut türü belirleniyor ve güncelleme blockchain'e yayınlanıyor. Blockchain üzerinde onaylandıktan sonra, bir komut cüzdan sahibi dışında hiç kimse tarafından değiştirilemiyor veya kaldırılamıyor. Bu durum; DDoS saldırıları, veri hırsızlığı ve uzaktan erişim araçları (RAT) gibi zararlı faaliyetlerin kesintisiz büyümesine olanak tanıyor.

Sonuç olarak, Aeternum C2 modeli siber güvenlik uzmanları için yepyeni ve zorlu bir dönemin başlangıcını işaret ediyor. Etkilenen makineler tamamen temizlense bile operatörün akıllı sözleşmeleri sağlam kaldığından, altyapıyı yeniden kurmaya gerek kalmadan anında yeni bir saldırı dalgası başlatılabiliyor. Savunma stratejilerinin artık bu yeni merkeziyetsiz tehdit modeline göre acilen güncellenmesi gerekiyor.