Największy botnet świata walczy o przetrwanie. Trickbot niczym feniks odradzi się z popiołów?

21 października 2020, 10:45
Hacker-1_(1)
fot. Magnus916 / WikimediaCommons / CC BY-SA 4.0

Microsoft nie ustaje w wysiłkach, aby odłączyć infrastrukturę Trickbota i uniemożliwić przeprowadzanie ataków ransomware, które zostały zidentyfikowane jako jedno z największych zagrożeń dla bezpieczeństwa listopadowych wyborów prezydenckich w Stanach Zjednoczonych.

Dlaczego Trickbot jest taki niebezpieczny? Rząd Stanów Zjednoczonych, a także niezależni eksperci wielokrotnie wskazywali na oprogramowanie ransomware jako największe zagrożenie dla przyszłych wyborów prezydenckich. Przewiduje się, że wykorzystując ten rodzaj złośliwego oprogramowania wrogie pomioty zdolne będą do infekowania systemów komputerowych przeznaczonych do liczenia głosów, ale również do raportowania wyników. Jako potencjalny skutek wskazuje się możliwość przejęcia kontroli nad urządzeniami liczącymi i systemami raportowania wyników do wywołania chaosu oraz zmniejszenia zaufania publicznego do instytucji publicznych, w tym również do kwestionowania wyników wyborów. 

W październiku Microsoft wraz z szeregiem innych podmiotów ogłosił przeprowadzenie operacji mającej na celu wyłączenie Trickbota. Pomimo początkowej euforii okazało się, że nie udało się zamknąć botnetu z sukcesem, a jego komponenty w dalszym ciągu funkcjonują.

Działania mające na celu wyłączenie cyberprzestępczej infrastruktury rozpoczęły się od nakazu wstrzymania działalności Trickbota przez amerykański sąd. W ramach grupy biorącej udział w operacji Microsoft wskazał FS-ISAC, ESET, Lumen’s Black Lotus Labs, NTT oraz Symantec. 

Trickbot niczym feniks z popiołów?

W początkowej fazie zidentyfikowano 69 serwerów stanowiących rdzeń botnetu z czego 62 zostały wyłączone – informuje Microsoft w nocie podsumowującej operację. Jak wskazuje gigant technologiczny, 7 pozostałych nie stanowi tradycyjnych serwerów, ale raczej elementy internetu rzeczy, które zostały zainfekowane i wykorzystywane jako część infrastruktury serwerowej. Jak informuje gigant technologiczny również one mają być w trakcie procesu wyłączania.

Zgodnie z przewidywaniami grupy cyberprzestępcy podjęli działania i w miejsce zamkniętych serwerów uruchomili 59 nowych, które próbowano dodać do istniejącej już infrastruktury. Z pośród nowych serwerów, jak dotychczas, nie udało się wyłączyć zaledwie jednego. 

Od momentu uruchomienia operacji do 18 października wyłączono 120 ze 128 zidentyfikowanych serwerów rozlokowanych na całym świecie. Jak jednak przewiduje Microsoft, liczby te stale będą podlegać modyfikacji wraz z kolejnymi działaniami zarówno grupy jak i cyberprzestępców.

Czym jest Trickbot?

Trickbot to sieć serwerów i zainfekowanych urządzeń prowadzonych przez przestępców odpowiedzialnych za szeroki zakres niecnych działań, w tym za dystrybucję oprogramowania ransomware, które może blokować systemy komputerowe. Trickbot jest jednym z największych i najdłużej działających botnetów w sieci. 

Pierwsza jego działalność została wykryta pod koniec 2016 roku i pomimo, że tożsamość operatorów nie jest znana – dotychczasowe badania przeprowadzone na przestrzeni tych lat pozwalają wyciągnąć wniosek, że służą one zarówno państwom jak i sieciom przestępczym.

Przewiduje się, że właśnie od 2016 roku Trickbot zainfekował ponad milion urządzeń zlokalizowanych na całym świecie. Był on wykorzystywany m.in. do prowadzenia kampanii spamerskich i phishingowych przy społecznie ważnych tematach jak Black Lives Matter i COVID-19. 

Oprócz zagrożenia wyborami Trickbot, jak podkreśla Microsoft, jest wykorzystywany również do docierania do witryn bankowości internetowej oraz kradzieży środków finansowych od ludzi i instytucji finansowych. Botnet atakował instytucje finansowe, od globalnych banków i podmiotów obsługujących płatności po regionalne spółdzielcze kasy pożyczkowe.

KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24