Amerykański atak na największy botnet świata. Ochrona wyborów priorytetem USCYBERCOM

13 października 2020, 15:29
48080976781_7e75816d9a_c
Fot. U.S. Army Cyber Command/Flickr/Domena publiczna

USCYBERCOM oraz koncerny branży technologicznej podjęły działania na rzecz zniszczenia jednego z największych i najdłużej działających botnetów na świecie. W ten sposób Amerykanie chcą zabezpieczyć infrastrukturę wyborczą przed zbliżającą się kampanią prezydencką w Stanach Zjednoczonych. Wysiłki Amerykanów okazały się skuteczne?

Rząd Stanów Zjednoczonych wraz z niezależnymi ekspertami wielokrotnie ostrzegał przed oprogramowaniem ransomware uznawanym za jedno z największych zagrożeń dla nadchodzących wyborów prezydenckich w USA. Wynika to z faktu, że za jego pomocą wrogie podmioty mogą infekować systemy komputerowe przeznaczone do liczenia głosów lub raportowania o wynikach, przejmując nad nimi kontrolę w celu wywołania powszechnego chaosu i nieufności społecznej.

Czym jest Trickbot?

Jednym z głównych zagrożeń w tym obszarze jest botnet Trickbot, który zainfekował ponad milion urządzeń na całym świecie od końca 2016 roku. „Tylko w 2020 roku nasza automatyczna platforma przeanalizowała ponad 125 000 złośliwych próbek oraz pobrała i odszyfrowała ponad 40 000 plików konfiguracyjnych używanych przez różne moduły Trickbota, co daje nam doskonałą perspektywę obserwacji serwerów wykorzystywanych przez ten botnet” – wskazują specjaliści ESET w raporcie „ESET takes part in global operation to disrupt Trickbot”.

Trickbot pierwszy raz został wykryty przez ESET pod koniec 2016 roku i od tego momentu przez lata kampanie z jego udziałem były regularnie zgłaszane do firmy. To sprawiło, że eksperci uznali go za jeden z największych i najdłużej działających botnetów w sieci.

Obecnie nie jest znana dokładna tożsamość operatorów Trickbota, jednak badania Microsoft sugerują, że botnet może być wykorzystywany zarówno przez podmioty państwowe jak i sieci cyberprzestępców.

„To, co czyni go tak niebezpiecznym, to fakt, że ma modułowe możliwości, które nieustannie ewoluują, infekując ofiary na potrzeby operatorów poprzez model >złośliwego oprogramowania dystrybuowanego w ramach usługi<” – tłumaczą eksperci Microsoft w oficjalnym komunikacie. Osoby obsługujące Trickbota mogą zapewnić „swoim klientom” dostęp do zainfekowanych urządzeń oraz zaoferować mechanizm infekowania celów różnymi formami złośliwego oprogramowania, w tym przede wszystkim ransomware.

Warto jednak pamiętać, że nie każdy może uzyskać dostęp do Trickbota. Potencjalny usługobiorca musi mieć „znaczące doświadczenie” w podziemiu cyberprzestępcym, aby najpierw rozpocząć w ogóle „rozmowę” o ewentualnej usłudze. Co ciekawe, podmioty z Korei Północnej przynajmniej raz wykorzystały Trickbota podczas prowadzonej operacji – wynika z wpisu Bobbiego Chesney’a, prodziekan ds. akademickich na University of Texas School of Law, który jest dostępny na blogu poświęconym bezpieczeństwu „Lawfare”.

Poza instalowaniem wirusów na komputerach Trickbot służy również do infekowania urządzeń zaliczanych do Internetu Rzeczy (ang. Internet of Things – IoT). To znacznie rozszerzyło zasięg operacji botnetu na organizacje oraz pojedynczych użytkowników.

Operatorzy Trickbota wykazują biegłość w dopasowywaniu swoich działań do bieżących wydarzeń. „Kampanie spamerskie i phishingowe wykorzystywane do dystrybucji złośliwego oprogramowania obejmowały takie tematy, jak Black Lives Matter czy pandemię COVID-19, zachęcając jednostki do klikania w zainfekowane dokumenty lub linki” – podkreślają specjaliści Microsoft. Jak dodają, cyberataki, w które zaangażowany był Trickbot to najbardziej skuteczne operacje złośliwego oprogramowania, wykorzystujące tematykę koronawirusa.

Trickbota źródłem strachu Amerykanów. Dlaczego?

Po pierwsze, wynika to z faktu, że straty wynikające z użycia oprogramowania ransomware stale rosną, a TrickBot jest szczególnym narzędziem jego dystrybuowania. Z tego względu Amerykanie zdecydowali się na stanowcze działania i neutralizację zagrożenia.

Kolejnym aspektem jest możliwość wykorzystania Trickbota nie tylko przez ugrupowania cyberprzestępcze, ale także aktora państwowego, co zdecydowanie zwiększa poczucie zagrożenia i niepokoju. Działania przeprowadzone przez Koreę Północną, podczas których wykorzystano omawiany botnet pokazują, że ten strach ma swoje podstawy.

Następnie należy zwrócić uwagę na zbliżające się wybory prezydenckich w USA. Amerykanie są szczególnie wrażliwi na ich bezpieczeństwo, co jest następstwem wydarzeń z 2016 roku. „Amerykanie chcą >rzucić piasek w tryby< Trickbota w ostatnich tygodniach przed wyborami, zmniejszając w ten sposób szanse, że botnet zostanie rzeczywiście użyty przez zewnętrzne podmioty” – podkreślił Bobby Chesney w swoim wpisie.

Oczywiście należy mieć na uwadze fakt, że obecnie nie ma pewności czy rzeczywiście doszłoby do użycia Trickbota w operacji wymierzonej przeciwko listopadowym wyborom, lecz istnieje taka możliwość. W związku z tym USCYBERCOM oraz koncerny technologiczne podjęły operacje na rzecz neutralizacji botnetu.

Po czwarte, oprogramowania ransomware wywiera duży wpływ na ofiary, w szczególności na dostawców usług medycznych, a Trickbot jest jednym z głównych narzędzi dystrybuowania złośliwego oprogramowania. Przykładem może być cyberatak z użyciem wirusa Ryuk wymierzony w Universal Health Services. Jak informowaliśmy pod koniec września, w wyniku incydentu doszło do awarii urządzeń w około 400 placówkach opieki zdrowotnej w Stanach Zjednoczonych oraz Wielkiej Brytanii.

Operacja: „neutralizacja zagrożenia”

Microsoft podjął działania przeciwko botnetowi na podstawie nakazu sądowego wydanego przez United States District Court for the Eastern District of Virginia. W operacji wzięły udział również inne firmy, takie jak na przykład ESET, Lumen’s Black Lotus Labs czy NTT Ltd. Wielość zaangażowanych podmiotów wskazuje na złożoność problemu oraz skalę zagrożenia.

„Odcięliśmy teraz kluczową infrastrukturę, aby osoby obsługujące Trickbota nie mogły już inicjować nowych infekcji ani aktywować oprogramowania ransomware, które zostało już zainstalowane w systemach komputerowych” – czytamy w oficjalnym komunikacie Microsoftu.

Poza ochroną infrastruktury wyborczej przed atakami, operacja miała na celu zabezpieczenie szerokiego katalogu organizacji, w tym instytucji finansowych, agencji rządowych, placówek opieki zdrowotnej, firm prywatnych oraz uniwersytetów i szkół przed ransomware, rozpowszechnianym za pomocą botnetu Trickbot.

Obserwacja prowadzona przez zespół ekspertów pokazała, w jaki sposób zainfekowane urządzenia łączą się z serwerami dowodzenia i kontroli, dzięki czemu udało się określić dokładne adresy IP tych serwerów.

 „Na podstawie dowodów sąd udzielił zgody Microsoft i naszym partnerom na wyłączenie adresów IP, uniemożliwienie dostępu do treści przechowywanych na serwerach dowodzenia i kontroli, zawieszenie wszystkich usług dla operatorów botnetu i zablokowanie wszelkich starań operatorów Trickbot w celu zakupu lub wynajęcia dodatkowych serwerów” – czytamy w komunikacie Microsoftu.

Aby operacja zakończyła się sukcesem konieczne było utworzenie międzynarodowej grupy specjalistów branży technologicznej. W ramach grupy przedstawiciele zaangażowanych podmiotów odpowiedzialni byli za realizację konkretnych zadań. Przykładowo ESET dostarczył analizy techniczne, informacje statystyczne oraz znane nazwy domen i adresy IP serwerów – wynika z raportu tej firmy.

„Rozbicie zagrożenia jakim jest Trickbot jest bardzo trudne i złożone. Jego połączenie z innymi zaawansowanymi cyberatakami sprawia, że cała operacja była niezwykle wymagająca” – wskazują specjaliści ESET.

Przełomowa misja USCYBERCOM

The Washington Post poinformował, że USCYBERCOM przeprowadziło operację mającą na celu zakłócenie działalności Trickbota, która została uznana za pierwszą tego typu misję prowadzoną poza domeną konfliktu zbrojnego.

„Celem operacji amerykańskiego dowództwa było odcięcie zainfekowanych maszyn od kontroli operatora” – wskazał Bobby Chesney w swoim wpisie na blogu „Lawfare”. Obecnie trudno jest jednoznacznie odpowiedzieć na pytanie czy działania USCYBERCOM zakończyły się sukcesem, co wynika z braku konkretnych informacji na temat misji.

Amerykański dziennikarz śledczy Brian Krebs na blogu „Krebs on Security” wskazał, że dostępne dowody wskazują na to, iż rzeczywiście ktoś posiadający dostęp do wewnętrznej sieci botnetu próbował zakłócić jego działanie. Potwierdza to analiza przeprowadzona przez Intel 471. „Wkrótce po dostarczeniu fałszywych konfiguracji wszystkie kontrolery Trickbota przestały poprawnie odpowiadać na żądania botów” – wskazali specjaliści. – „To prawdopodobnie oznacza, że ​​infrastruktura centralnego kontrolera Trickbota została zakłócona. Bliski czas obu wydarzeń sugeruje celowe zakłócenie działania botnetu”.

Dyrektor generalny Intel 471, Mark Arena, powiedział, że na tym etapie nikt nie jest w stanie wskazać kto jest odpowiedzialny za naruszenie struktury botnetu. „Oczywiście ktoś próbuje zaatakować Trickbota” – zaznaczył. – „Może to być ktoś ze społeczności zajmującej się badaniami nad bezpieczeństwem, rząd, niezadowolony insider lub konkurencyjna grupa cyberprzestępcza. W tym momencie po prostu nie wiemy”.

Alex Holden, założyciel firmy Hold Security zajmującej się analizą przesyłu danych, wskazał, że pod koniec września Trickbot przechowywał hasła i dane finansowe skradzione z ponad 2,7 miliona komputerów z systemem Windows. Obecnie liczba ta wzrosła do ponad 7 milionów.

„Ktoś zalewa system Trickbota fałszywymi danymi” – podkreślił specjalista, na którego stanowisko powołuje się Brian Krebs. „Ktokolwiek to robi, generuje rekordy zawierające nazwy rzekomo zainfekowanych urządzeń w wielu różnych organizacjach, w tym w Departamencie Obrony, Banku USA, JP Morgan Chase, PNC i Citigroup, by wymienić tylko kilka”.

The Washington Post operację przypisuje USCYBERCOM. Jednak działania dowództwa nie muszą być skuteczne w neutralizacji botnetu. Wynika to z faktu, że jego operatorzy opracowali bezpieczny system odzyskiwania kontroli i funkcjonalności, który pozwala na przykład na tworzenie kopii zapasowych. Dzięki temu Trickbot pomimo zakłóceń może odzyskać kontrolę nad zainfekowanymi wcześniej urządzeniami.

Raporty, do których dotarł Bobby Chesney wskazują, że operacja wymierzona w botnet mogła przynieść jedynie chwilowy skutek, ponieważ dostępne dane wskazują, że Trickbot zaczyna wracać do „normalności”. Warto jednak mieć na uwadze, że USCYBERCOM może bez większych problemów przeprowadzić tego typu operacje wielokrotnie.

Działania amerykańskiego dowództwa mają na celu nie tylko zakłócenie niebezpiecznej sieci, lecz także stanowić narzędzie odstraszania dla wrogich podmiotów. „Celem USCYBERCOM było również wysłanie wysoce wiarygodnego sygnału do operatorów Trickbota, że dowództwo rzeczywiście chce i jest w stanie podjąć bezpośrednie działania w swoich sieciach” – czytamy na blogu „Lawfare”.

Zagrożenie dla innych sektorów

Trickbot stanowi poważne zagrożenie nie tylko dla zbliżającej się kampanii wyborczej, ale również branży finansowej. Botnet za pomocą złośliwego oprogramowania skutecznie narusza witryny bankowości internetowej oraz wykrada środki z instytucji oraz od pojedynczych użytkowników.

„Trickbot wielokrotnie atakował instytucje finansowe – od globalnych banków i podmiotów obsługujących płatności po spółdzielcze kasy pożyczkowe” – czytamy w komunikacie Microsoftu. Z tego względu również Financial Services Information Sharing and Analysis Center (FS-ISAC) zaangażowało się w działania wymierzone przeciwko Trickbotowi i jego neutralizacji.

Trickbot generalnie wykonuje szereg działań, aby potajemnie przejąć przeglądarkę internetową użytkownika , przechwycić dane do logowania do konta bankowego oraz inne wrażliwe informacje, a następnie wysłać je do operatora. To pozwala hakerom na uzyskanie dostępu do środków finansowych ofiar. Użytkownicy nie zdają sobie nawet sprawy z działalności botnetu, ponieważ został on zaprojektowany w taki sposób, aby skutecznie ukrywać się w sieci.

Botnet jest również powszechnie wykorzystywany do infekowania urządzeń oprogramowaniem ransomware Ryuk, które wielokrotnie było użyte w atakach na instytucje publiczne oraz podmioty prywatne. Przykładem może być incydent wymierzony w miasto Durham położone w Karolinie Północnej.

Specjaliści ESET jednoznacznie ogłosili, że Trickbot stanowi poważne zagrożenie dla użytkowników na całym świecie. Z biegiem czasu botnet przestał być postrzegany wyłącznie jako narzędzie rozprzestrzeniania trojanów bankowych. Obecnie zyskał miano skutecznego mechanizmu dystrybucji oprogramowania ransomware.

„To, co sprawia, że ​​Trickbot jest tak wszechstronny, to fakt, że jego funkcje można znacznie rozszerzyć za pomocą wtyczek” – tłumaczą eksperci ESET w swoim raporcie. – „W trakcie obserwacji byliśmy w stanie zebrać i przeanalizować 28 różnych wtyczek. Niektóre z nich mają na celu zbieranie haseł z przeglądarek, kont poczty e-mail i różnych aplikacji, podczas gdy inne mogą modyfikować ruch sieciowy lub samodzielnie się rozprzestrzeniać”. To podkreśla jedynie skalę zagrożenia, jakie stanowi Trickbot.

image
Z oferty Sklepu Defence24 - zapraszamy!
KomentarzeLiczba komentarzy: 0
No results found.