ESET משתפת פעולה עם רשויות אכיפת החוק להפלת רשת הבוטנט Andromeda

חוקרי האבטחה של ESET בשיתוף עם מיקרוסופט, סוכנויות אכיפת החוק; ה-FBI, האינטרפול, היורופול וגורמים נוספים בתחום אבטחת המידע, לקחו חלק במבצע גדול להפלת רשת בוטנט המכונה Andromeda, המדביק קורבנות כבר משנת 2011.

שיתוף הפעולה בין הגורמים החל ב-29 בנובמבר 2017, וכתוצאה מהמאמץ המשותף, רשויות אכיפת החוק ברחבי העולם הצליחו לבצע מעצר ולחסום פעילות של משפחת נוזקות האחראית להדבקה של 1.1 מיליון מערכות ביום, והפיצה בין היתר את נוזקות הכופר הידועות Petya ו- Cerber.

ESET וחוקרי מיקרוסופט שיתפו ניתוחים טכניים, מידע סטטיסטי וכתובות דומיינים של שרתי שליטה ובקרה (C&C) כדי לסייע בשיבוש הפעילות הזדונית של הקבוצה. ESET גם שיתפה במהלך השנה וחצי האחרונות מידע על Andromeda, שנרכש מהניטור המתמיד של תוכנות זדוניות ורשתות בוטנט.

רשויות האכיפה בבלרוס עצרו חשוד ביצירה של הקוד הזדוני של Andromeda, דבר שלא היה מתאפשר ללא המידע שסופק להן. במהלך 48 השעות הראשונות שלאחר התפיסה של שרתי השליטה והבקרה ע"י הרשויות, התגלה שהרשת פרוסה כרגע ב-223 מדינות, כאשר יותר מ-2 מיליון מחשבים נגועים ניסו להתחבר אליה.

כאשר מדברים על בוטנט הכוונה היא למערך נוזקות הנמצא על מחשבים רבים המחוברים לשרת שליטה ובקרה. הבוטנט מאפשר לתוקפים לשדר למערכות שנפרצו פקודות מרחוק דרך שרת בקרה ושליטה, בין אם זה לשתול נוזקות, להצפין קבצים, לכרות ביטקוין ועוד.

מה זה Adromeda?
Andromeda הידועה גם בשם Wauchos או Gamarue, היא רשת בוטנט שנוצרה כבר בספטמבר 2011 ונמכרה כערכת פשיעה בפורומים מחתרתיים בדארק נט. המטרה של משפחת הנוזקות Gamarue היא לגנוב פרטי כניסה לחשבונות ולאחר מכן להוריד ולהתקין תוכנות זדוניות נוספות על מערכות המשתמשים.

זו משפחה של תוכנות זדוניות המאפשרת בוט בהתאמה אישית, כלומר הבעלים יכולים ליצור ולהשתמש בתוספים מותאמים אישית. תוסף אחד מאפשר לפושעי הסייבר לגנוב תוכן שהוזן על ידי משתמשים בטופסי אינטרנט, בעוד שתוסף אחר מאפשר לפושעים להתחבר חזרה ולשלוט במערכות שנפרצו.

הפופולריות של הנוזקה גרמה למספר בוטנטים של Andromeda להיות "עצמאיים" ובעצם להתפשט לבד. למעשה, ESET מצאה כי דגימות של הנוזקה הופצו ברחבי העולם באמצעות מדיה חברתית, הודעות מיידיות, דואר זבל וערכות פריצה.

מי היו הקורבנות?
החל ממשתמשים ביתיים, עסקים קטנים ובינוניים ועד לתאגידים גדולים. כל מי שנפל בהונאות כמו דואר זבל, קישורים זדוניים ברשתות החברתיות ועוד. בעוד האיום הוא גלובלי, הנתונים שלנו מראים כי מדינות אסיה נפגעו קשות על ידי Andromeda.

איך ESET ומיקרוסופט אספו את המודיעין?
החוקרים של ESET הצליחו לבנות בוט שיכול לתקשר עם שרתי השליטה והבקרה של הנוזקה, באמצעות מערכת המודיעין המתקדמת בה נעשה שימוש. כתוצאה מכך, ESET ומיקרוסופט היו מסוגלות לעקוב אחר הבוטנטים של Andromeda במשך השנה וחצי האחרונות, תוך מעקב אחר מה שהותקן במערכות הקורבנות, ולבסוף הסרה של שרתי השליטה והבקרה שלהם. שתי החברות הכינו מאז רשימה של כל כתובות הדומיינים המשמשים את פושעי הסייבר.

"בעבר, Wauchos הייתה המשפחה הזדונית המזוהה ביותר בקרב משתמשי ESET, כך שכאשר נתבקשנו על ידי מיקרוסופט לקחת חלק במאמץ משותף נגדה, כדי להגן טוב יותר על המשתמשים שלנו ועל כלל הציבור הרחב, זה היה ברור שנסכים לשתף פעולה" מסביר ז'אן לאן בוטין, חוקר נוזקות בכיר ב-ESET. "האיום הזה נמצא בסביבה כבר כמה שנים והוא ממציא את עצמו מחדש ללא הרף, דבר שעלול להקשות על הניטור. עם זאת, באמצעות שימוש בטכנולוגיות של ESET ובשיתוף פעולה עם חוקרי מיקרוסופט, הצלחנו לעקוב אחר השינויים בהתנהגות של הנוזקה, ולפיכך לספק נתונים ואופציות לפעולה, אשר נתנו ערך רב למאמצי ההסרה הללו".

מה על המשתמשים לעשות אם הם חושדים שהמערכות שלהם נפרצו?
פושעי הסייבר משתמשים ב- Andromeda במטרה לגנוב תוכן שהוזן על ידי משתמשים בטופסי אינטרנט וכך בעצם לגנוב פרטי גישה לחשבונות ממשתמשים פרטיים. החוקרים של ESET זיהו גם הפצות של Andromeda במודל תשלום עבור כל מחשב מודבק (pay-per install).

ESET ממליצה למשתמשים שחוששים שמערכת ההפעלה שלהם (Windows) עלולה להימצא בסכנה להשתמש ב-ESET Online Scanner , דבר שיסיר כל איום, כולל Andromeda, שנמצא במערכת.

מידע נוסף ניתן למצוא בבלוג של חברת ESET ובבלוג של מיקרוסופט .