Πώς το FBI κατέρριψε το διαβόητο botnet Qakbot
Ένας παγκόσμιος νόμος
Η επιχείρηση επιβολής της νομοθεσίας αυτή την εβδομάδα κατέστρεψε και εξάρθρωσε το διαβόητο botnet Qakbot, που διαφημίζεται ως η μεγαλύτερη οικονομική και τεχνική διακοπή της υποδομής botnet υπό την ηγεσία των ΗΠΑ.
Το Qakbot είναι ένα τραπεζικό trojan που έγινε διαβόητο για την παροχή
μια αρχική βάση στο δίκτυο ενός θύματος
για άλλους χάκερ να αγοράσουν πρόσβαση και να παραδώσουν το δικό τους κακόβουλο
λογισμικό
, όπως
ransomware
. Αμερικανοί αξιωματούχοι δήλωσαν ότι το Qakbot βοήθησε στη διευκόλυνση περισσότερων από 40 επιθέσεων ransomware μόνο τους τελευταίους 18 μήνες, δημιουργώντας 58 εκατομμύρια δολάρια σε πληρωμές λύτρων.
Η επιχείρηση επιβολής του νόμου, με την ονομασία «Operation Duck Hunt», είδε το FBI και τους διεθνείς εταίρους του να κατασχούν την υποδομή του Qakbot που βρίσκεται στις
Ηνωμένες Πολιτείες
και σε ολόκληρη την Ευρώπη. Το Υπουργείο Δικαιοσύνης των ΗΠΑ, το οποίο διεξήγαγε την επιχείρηση μαζί με το FBI, ανακοίνωσε επίσης την κατάσχεση περισσότερων από 8,6 εκατομμυρίων δολαρίων σε κρυπτονομίσματα από την κυβερνοεγκληματική οργάνωση Qakbot, τα οποία σύντομα θα διατεθούν στα θύματα.
Στην ανακοίνωση της Τρίτης, το FBI είπε ότι πραγματοποίησε μια επιχείρηση που ανακατεύθυνε την κυκλοφορία του δικτύου του botnet σε διακομιστές υπό τον έλεγχο της κυβέρνησης των ΗΠΑ, επιτρέποντας στις ομοσπονδιακές αρχές να αναλάβουν τον έλεγχο του botnet. Με αυτήν την πρόσβαση, το FBI χρησιμοποίησε το botnet για να δώσει εντολή σε μηχανήματα που έχουν μολυνθεί από Qakbot σε όλο τον κόσμο να κατεβάσουν ένα πρόγραμμα απεγκατάστασης κατασκευασμένο από το FBI που αποσύνδεσε τον υπολογιστή του θύματος από το botnet, αποτρέποντας περαιτέρω εγκατάσταση κακόβουλου λογισμικού μέσω του Qakbot.
Το FBI είπε ότι η επιχείρησή του είχε εντοπίσει περίπου 700.000 συσκευές που είχαν μολυνθεί με Qakbot έως τον Ιούνιο — συμπεριλαμβανομένων περισσότερων από 200.000 που βρίσκονται στις Ηνωμένες Πολιτείες. Κατά τη διάρκεια μιας κλήσης με δημοσιογράφους, ένας ανώτερος αξιωματούχος του FBI είπε ότι ο συνολικός αριθμός των θυμάτων Qakbot είναι πιθανόν σε «εκατομμύρια».
Δείτε πώς έπεσε η επιχείρηση Duck Hunt.
Πώς λειτούργησε η επέμβαση;
Σύμφωνα με την
αίτηση για ένταλμα κατάσχεσης της επιχείρησης
, το FBI εντόπισε και απέκτησε πρόσβαση στους διακομιστές που εκτελούν την υποδομή botnet Qakbot που φιλοξενείται από μια ανώνυμη εταιρεία φιλοξενίας Ιστού, συμπεριλαμβανομένων των συστημάτων που χρησιμοποιούνται από τους διαχειριστές του Qakbot. Το FBI ζήτησε επίσης από το δικαστήριο να απαιτήσει από τον οικοδεσπότη Ιστού να παράγει κρυφά ένα αντίγραφο των διακομιστών για να εμποδίσει τον οικοδεσπότη να ειδοποιήσει τους πελάτες του, τους διαχειριστές του Qakbot.
Μερικά από τα συστήματα στα οποία είχε πρόσβαση το FBI περιλαμβάνουν τη στοίβα εικονικών μηχανών του Qakbot για τη δοκιμή των δειγμάτων κακόβουλου λογισμικού τους σε δημοφιλείς μηχανές προστασίας από ιούς και τους διακομιστές του Qakbot για την εκτέλεση εκστρατειών ηλεκτρονικού ψαρέματος με το όνομα πρώην προέδρων των ΗΠΑ, γνωρίζοντας καλά ότι είναι πιθανό να λάβουν μηνύματα ηλεκτρονικού ταχυδρομείου με πολιτικά θέματα. άνοιξε. Το FBI είπε ότι ήταν επίσης σε θέση να εντοπίσει πορτοφόλια Qakbot που περιείχαν κρυπτονομίσματα που είχαν κλαπεί από τους διαχειριστές του Qakbot.
«Μέσω της έρευνάς του, το FBI απέκτησε μια ολοκληρωμένη κατανόηση της δομής και της λειτουργίας του botnet Qakbot», αναφέρει η εφαρμογή, περιγράφοντας το σχέδιό του για την κατάργηση του botnet. «Βάσει αυτής της γνώσης, το FBI έχει αναπτύξει ένα μέσο για τον εντοπισμό μολυσμένων υπολογιστών, τη συλλογή πληροφοριών από αυτούς σχετικά με τη μόλυνση, την αποσύνδεσή τους από το botnet Qakbot και την αποτροπή περαιτέρω επικοινωνίας των διαχειριστών του Qakbot με αυτούς τους μολυσμένους υπολογιστές».
Το Qakbot χρησιμοποιεί ένα σύστημα κλιμακωτών συστημάτων — που περιγράφεται ως Tier 1, Tier 2, και Tier 3 — για τον έλεγχο του κακόβουλου λογισμικού που είναι εγκατεστημένο σε μολυσμένους υπολογιστές σε όλο τον κόσμο, σύμφωνα με το FBI και
ευρήματα
από την αμερικανική υπηρεσία
κυβερνοασφάλεια
ς CISA.
Το FBI είπε ότι τα συστήματα Tier 1 είναι συνηθισμένοι οικιακούς ή επαγγελματικούς υπολογιστές – πολλοί από τους οποίους βρίσκονταν στις Ηνωμένες Πολιτείες – μολυσμένοι με Qakbot που διαθέτουν επίσης μια πρόσθετη μονάδα “υπερκόμβου”, η οποία τους καθιστά μέρος της διεθνούς υποδομής ελέγχου του botnet. Οι υπολογιστές επιπέδου 1 επικοινωνούν με συστήματα Βαθμίδας 2, τα οποία χρησιμεύουν ως διακομιστής μεσολάβησης για την κυκλοφορία δικτύου για την απόκρυψη του κύριου διακομιστή εντολών και ελέγχου Tier 3, τον οποίο χρησιμοποιούν οι διαχειριστές για να εκδίδουν κρυπτογραφημένες εντολές στα εκατοντάδες χιλιάδες μολυσμένα μηχανήματα του.
Με πρόσβαση σε αυτά τα συστήματα και με γνώση των κλειδιών κρυπτογράφησης του Qakbot, το FBI είπε ότι μπορούσε να αποκωδικοποιήσει και να κατανοήσει τις κρυπτογραφημένες εντολές του Qakbot. Χρησιμοποιώντας αυτά τα κλειδιά κρυπτογράφησης, το FBI μπόρεσε να δώσει εντολή σε αυτούς τους υπολογιστές «υπερκόμβου» Tier 1 να ανταλλάξουν και να αντικαταστήσουν τη μονάδα υπερκόμβου με μια νέα μονάδα που αναπτύχθηκε από το FBI, η οποία είχε νέα κλειδιά κρυπτογράφησης που θα κλείδωναν τους διαχειριστές του Qakbot από τη δική τους υποδομή. .
Ανταλλαγή, αντικατάσταση, απεγκατάσταση
Σύμφωνα με έναν
ανάλυση
από τις προσπάθειες κατάργησης από την εταιρεία κυβερνοασφάλειας Secureworks, η παράδοση της ενότητας του FBI ξεκίνησε στις 25 Αυγούστου στις 7:27 μ.μ. στην Ουάσιγκτον DC.
Στη συνέχεια, το FBI έστειλε εντολές δίνοντας εντολή σε αυτούς τους υπολογιστές Tier 1 να επικοινωνούν με έναν διακομιστή που ήλεγχε το FBI, αντί με τους διακομιστές Tier 2 του Qakbot. Από εκεί, την επόμενη φορά που ένας υπολογιστής μολυσμένος με Qakbot έκανε check-in με τους διακομιστές του – κάθε ένα έως τέσσερα λεπτά περίπου – θα βρισκόταν να επικοινωνεί απρόσκοπτα με έναν διακομιστή του FBI.
Μετά τη διοχέτευση υπολογιστών μολυσμένων με Qakbot στον διακομιστή του FBI, ο διακομιστής έδωσε εντολή στον υπολογιστή να πραγματοποιήσει λήψη ενός προγράμματος απεγκατάστασης που καταργεί εντελώς το κακόβουλο λογισμικό Qakbot. (Το αρχείο απεγκατάστασης ήταν
ανέβηκε
στο VirusTotal, ένα διαδικτυακό κακόβουλο λογισμικό και σαρωτής ιών που εκτελείται από την Google.) Αυτό δεν διαγράφει ή αποκαθιστά οποιοδήποτε κακόβουλο λογισμικό που παρέδωσε το Qakbot, αλλά θα αποκλείσει και θα αποτρέψει μια άλλη αρχική μόλυνση από το Qakbot.
Το FBI είπε ότι ο διακομιστής του «θα είναι αδιέξοδο» και ότι «δεν θα καταγράφει περιεχόμενο από τους μολυσμένους υπολογιστές», εκτός από τη διεύθυνση IP του υπολογιστή και τις σχετικές πληροφορίες δρομολόγησης, ώστε το FBI να μπορεί να επικοινωνήσει με τα θύματα του Qakbot.
«Ο κακόβουλος κώδικας Qakbot διαγράφεται από τους υπολογιστές των θυμάτων, εμποδίζοντάς τον να κάνει άλλο κακό», δήλωσαν οι εισαγγελείς την Τρίτη.
Αυτή είναι η πιο πρόσφατη επιχειρησιακή κατάργηση που έχει πραγματοποιήσει το FBI τα τελευταία χρόνια.
Το 2021, οι ομοσπονδίες πραγματοποίησαν την πρώτη στο είδος της επιχείρηση για την αφαίρεση κερκόπορτων που είχαν φυτευτεί από Κινέζους χάκερ σε παραβιασμένους διακομιστές email του Microsoft Exchange. Ένα χρόνο αργότερα, το FBI διέκοψε ένα τεράστιο botnet που χρησιμοποιούνταν από Ρώσους κατασκόπους για να εξαπολύσουν ισχυρές και ανατρεπτικές επιθέσεις στον κυβερνοχώρο που είχαν σχεδιαστεί για να χτυπήσουν δίκτυα εκτός σύνδεσης και, νωρίτερα φέτος, έριξε ένα άλλο ρωσικό botnet εκτός σύνδεσης που λειτουργούσε τουλάχιστον από το 2004.
