Jeden z największych i najstarszych botnetów na świecie nadal pozostaje aktywny, pomimo operacji przeprowadzonych ze strony USCYBERCOM oraz gigantów technologicznych. Działania na rzecz likwidacji zagrożenia okazały się nie w pełni skuteczne, o czym świadczą kolejne incydenty z udziałem Trickbota. Jest to szczególnie istotne z punktu widzenia bezpieczeństwa zbliżających się wyborów prezydenckich w Stanach Zjednoczonych.
Pomimo operacji USCYBERCOM oraz odrębnych działań podjętych ze strony prywatnych koncernów branży technologicznej, takich jak Microsoft, Symantec czy ESET, jeden z największych botnetów świata „Trickbot” nadal pozostaje aktywny. Specjaliści firmy zajmującej się cyberbezpieczeństwem Cofense Labs odkryli, że złośliwe oprogramowanie przeznaczone do kradzieży danych zostało wykorzystane podczas jednej z najnowszych kampanii hakerskich z udziałem Trickbota. To potwierdza, że operacje przeprowadzone przez amerykańskie dowództwo oraz sektor prywatny nie były w pełni skuteczne.
We are currently seeing #emotet dropping #trickbot on all 3 Epochs. Spam is active again.
— Cofense Labs (@CofenseLabs) October 14, 2020
Jak informowaliśmy w połowie października, USCYBERCOM oraz koncerny branży technologicznej podjęły działania na rzecz zniszczenia groźnego botnetu. W ten sposób Amerykanie chcieli zabezpieczyć infrastrukturę wyborczą przed możliwymi cyberatakami wymierzonymi w zbliżającą się kampanię prezydencką.
Celem operacji USCYBERCOM było odcięcie zainfekowanych maszyn od kontroli operatora. Analiza przeprowadzona przez Intel 471 wskazała, że rzeczywiście „ktoś” posiadający dostęp do wewnętrznej sieci botnetu próbował zakłócić jego działanie. Infrastruktura Trickbota była „zalewana” fałszywymi danymi, które rzekomo miały pochodzić z zainfekowanych urządzeń wielu różnych organizacji, w tym na przykład Departamentu Obrony USA, Banku USA czy JP Morgan Chase.
Z kolei Microsoft podjął działania przeciwko botnetowi na podstawie nakazu sądowego. W operacji wzięły udział również inne firmy, takie jak na przykład ESET, Lumen’s Black Lotus Labs czy NTT Ltd. Początkowo amerykański gigant wskazywał, że podczas działań udało się odciąć kluczową infrastrukturę botnetu, co miało sprawić, iż osoby obsługujące Trickbota nie mogły już inicjować nowych infekcji ani aktywować oprogramowania ransomware.
Kilka dni po realizacji operacji okazało się, że działania nie były w pełni skuteczne. „To nie było coś normalnego dla operatorów Trickbota, ale też nie okazało się dla nich śmiertelnym ciosem” – podkreślił na łamach CyberScoop Alex Holden, dyrektor ds. bezpieczeństwa informacji w Hold Security (firmie śledzącej działalność botnetu).
Specjalista zaznaczył, że Trickbot nadal powoduje kolejne infekcje urządzeń, lecz są to jedynie setki przypadków dziennie, a nie tysiące jak przed próbami zakłócenia jego infrastruktury. „Nadal istnieje funkcjonalność , (…) nadal trwają kampanie ransomware” – wskazał Alex Holden.
Część ekspertów przewiduje, że botnet skutecznie dostosuje się do „nowych warunków” po próbach jego zniszczenia i dalej będzie odpowiadał za prowadzenie operacji spamowych oraz dystrybuował złośliwe oprogramowanie z wysoką intensywnością, korzystając przy tym z innej infrastruktury. Zwolennikiem tej teorii jest między innymi Richard Hummel, ekspert Arbor Networks, który wskazał, że operatorzy Trickbota wrócą do swoich działań, a to może oznaczać, iż botnet ponownie stanie się potężnym narzędziem dystrybucji ransomware.
Firma Symantec, która była zaangażowana w operację pod pieczą Microsoftu wskazała, że działania na rzecz zakłócenia Trickbota stanowiły jedynie „pojedynczy krok” w szerszej kampanii. „Całkowite wyeliminowanie tego botnetu będzie prawdopodobnie wymagało dodatkowych działań ze strony partnerów rządowych” – czytamy w oficjalnym komunikacie Symantec.
W tym miejscu pojawia się pytanie: w jaki sposób można trwale zakłócić działanie tak rozbudowanego botnetu jak Trickbot? Odpowiedzi próbował udzielić na łamach CyberScoop specjalista McAfee Christiaan Beek. „Z naszego doświadczenia wynika, że najskuteczniejsze zlikwidowanie botnetów wymaga zarówno błyskawicznego ataku technicznego, jak i fizycznego aresztowania jego operatorów” – podkreślił ekspert.