Armia i Służby
Sukces Europolu. Potężny botnet „na kolanach”
W ramach międzynarodowej operacji organów ścigania udało się przejąć kontrolę nad infrastrukturą jednego z największych i najniebezpieczniejszych botnetów na świecie. O sukcesie poinformował Europol, a gratulacje w związku z powodzeniem akcji przekazał Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa w KPRM.
Wspólna operacja organów ścigania z całego świata zakłóciła jeden z największych botnetów ostatniej dekady – „Emotet”. Śledczym udało się przejąć kontrolę nad jego infrastrukturą w ramach skoordynowanej akcji międzynarodowej – informuje Europol.
W działania zaangażowane były służby z Holandii, Niemiec, Stanów Zjednoczonych, Wielkiej Brytanii, Francji, Litwy, Kanady i Ukrainy. Operację koordynował Europol oraz Eurojust, a cała akcja została przeprowadzona w ramach Europejskiej Multidyscyplinarnej Platformy Przeciwko Zagrożeniom Przestępczym (EMPACT) .
Emotet to odmiana złośliwego oprogramowania, która uznawana jest za najbardziej zaawansowaną oraz stanowiącą poważne zagrożenie w cyberprzestrzeni. Jak przypomina Europol, wirus po raz pierwszy został wykryty w 2014 roku jako trojan bankowy, jednak przez lata ewoluował, aby stać się złożonym narzędziem w rękach cyberprzestępców. Emotet jest wykorzystywany m.in. do uzyskiwania dostępu do sieci i systemów ofiar w skali globalnej.
Specjaliści ds. cyberbezpieczeństwa wykryli botnet w kampanii wykorzystującej pocztę elektroniczną jako jeden z wektorów ataku. Poprzez w pełni zautomatyzowany proces Emotet był dostarczany na urządzenia ofiar za pośrednictwem zainfekowanych załączników, znajdujących się w wiadomości e-mail.
Wykorzystywano wiele różnych przynęt, aby nakłonić niczego nie podejrzewających użytkowników do otwarcia złośliwych załączników. W przeszłości kampanie e-mailowe Emotet posługiwały się tematyką koronawirusa, powiadomień o wysyłce czy faktury od usługodawców.
Wszystkie zbadane e-maile zawierały zainfekowane dokumenty programu Word, które były dołączone do treści wiadomości. W momencie, gdy użytkownik otwierał plik lub klikał w załącznik, na urządzeniu ofiary instalowany był Emotet.
Więcej niż wirus
Jak wskazuje Europol, Emotet jest czymś więcej niż tylko złośliwym oprogramowaniem. Jest on szczególnie niebezpieczny, ponieważ stanowi narzędzie hakerskie do wynajęcia, z czego chętnie korzystają liczne grupy cyberprzestępcze. Botnet może być użyty np. w kampanii z udziałem wirusa Ryuk czy TrickBot.
Według specjalistów Emotet ,ze względu na swoją charakterystykę i sposób działania, jest jednym z najbardziej odpornych wirusów w cyberprzestrzeni.
Sukces operacji
Europol wyjaśnił, że infrastruktura z której korzystał Emotet obejmowała kilkaset serwerów zlokalizowanych na całym świecie. Każdy z nich miał inną funkcję w celu m.in. zarządzania zainfekowanymi urządzeniami ofiar, rozprzestrzeniania wirusa na kolejne komputery czy obsługi innych operacji hakerskich. Ze względu na złożoność botnetu jest on bardzo trudny do usunięcia.
Aby poważnie zakłócić działanie infrastruktury Emotet, organy ścigania połączyły siły w celu podjęcia skutecznej operacji.
Tygodniowa operacja służb doprowadzała do przejęcia kontroli nad infrastrukturą botnetu i jej „zdemontowanie od wewnątrz”. Zainfekowane urządzenia ofiar zostały przekierowane na serwery zarządzane przez organy ścigania. Jest to unikalne i nowe podejście do skutecznego zakłócania działań cyberprzestępczych.
Co więcej, podczas dochodzenia prowadzonego przez holenderską policję w sprawie Emotet odkryto bazę danych zawierającą adresy e-mail, nazwy użytkowników oraz hasła, które zostały skradzione podczas kampanii hakerskiej z użyciem botnetu.
Do globalnej operacji przeciwko Emotet odniósł się również Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa w KPRM, który za pomocą Twittera przekazał gratulacje dla jednostek biorących udział w akcji. Jak podkreślił, jest to szczególne osiągnięcie, ponieważ botnet był wykorzystywany do ataków na szpitale a przejęcie jego infrastruktury znacznie poprawi bezpieczeństwo w sieci.
Jak wskazuje Europol, wiele botnetów, takich jak Emotet, ma charakter polimorficzny. Oznacza to, że wirus zmienia swój kod przy każdym wykorzystaniu. Tu właśnie pojawia się główny problem dla użytkowników. Wynika on z faktu, że programy antywirusowe skanują urządzenia w poszukiwaniu znanych kodów złośliwego oprogramowania, każda jego modyfikacja powoduje trudności w wykryciu, uniemożliwiając początkowo zidentyfikowanie infekcji.
Aby uchronić się przed wirusem, konieczne jest zachowanie czujności i ostrożności. Użytkownicy powinni uważnie sprawdzać pocztę elektroniczną i nie otwierać wiadomości, a zwłaszcza załączników, od nieznajomych nadawców.
Czytaj też: Cyberatak na pogotowie we Wrocławiu