Amerykański rząd poinformował, że zakłócił działanie botnetu, który był przypisywany grupie hakerskiej Sandworm, powiązanej z rosyjskim wywiadem GRU. Został on jednak namierzony, zanim cyberprzestępcy wykorzystali go do szkodliwych celów.
Podczas konferencji prasowej amerykańscy urzędnicy poinformowali o skutecznym zakłóceniu działania botnetu, czyli sieci zainfekowanych złośliwym oprogramowaniem komputerów i innych urządzeń, którymi cyberprzestępcy mogą sterować zdalnie i wykorzystywać je do przeprowadzania cyberataków.
„Dzięki naszej bliskiej współpracy z międzynarodowymi partnerami byliśmy w stanie wykryć infekcję tysięcy urządzeń sieciowych” – poinformował Merrick Garland, prokurator generalny Stanów Zjednoczonych. „Byliśmy wtedy w stanie wyłączyć kontrolę GRU nad tymi urządzeniami, zanim botnet mógł zostać uzbrojony” – powiedział Garland, cytowany przez serwis Cyberscoop.
Botnety infekują urządzenia zdalnie, więc od dawna są częścią planu cyberprzestępców, działających na zlecenie Kremla. Mogą w ten sposób realizować destrukcyjne zadania, wspierane przez państwo. USA powiązały tę kampanię z grupą Sandworm, która jest oskarżana o takie głośne ataki, jak te na ukraińską sieć elektryczną w 2015 roku i serię cyberataków NotPetya w 2017 roku.
Jak działał botnet?
Dyrektor FBI Christopher Wray powiedział, że botnet wykorzystywał kod „Cyclops Blink”, który agencje ds. cyberbezpieczeństwa z USA i Wielkiej Brytanii przypisały Sandwormowi w opublikowanym niedawno ostrzeżeniu. Usunięcie Cyclops Blink było „wyrafinowaną, autoryzowaną przez sąd operacją”, która polegała na usunięciu złośliwego oprogramowania z tysięcy urządzeń.
Amerykański rząd miał współpracować z firmą, która wyprodukowała sprzęt zapory sieciowej, by opracować „narzędzia i techniki do wykrywania i naprawy podatności”. Choć działanie botnetu zostało zakłócone, zalecono, by nadal właściciele urządzeń Firebox postępowali zgodnie z instrukcjami dotyczącymi aktualizacji sprzętu.
Rosyjska cyberprzestępczość
Agencje federalne ujawniły kilka innych, powiązanych z Rosją operacji od czasu, gdy Moskwa nasiliła działania wojenne przeciwko Ukrainie na początku tego roku. W tym miesiącu Departament Sprawiedliwości ogłosił akt oskarżenia wobec Rosjan, rzekomo powiązanych ze złośliwym oprogramowaniem Trisis, które zaatakowało saudyjską fabrykę petrochemiczną w 2017 roku.
Natomiast urzędnicy Białego Domu wielokrotnie ostrzegali przed potencjalnymi, wspieranymi przez Rosję cyberatakami na amerykańskie firmy i infrastrukturę.
Gen. Paul Nakasone, dowódca USCYBERCOM poinformował, że amerykański personel współpracował z ukraińskimi partnerami, aby „polować z wyprzedzeniem” na rosyjskich cyberprzestępców.
Czytaj też
Ukraina celem ataków w cyberprzestrzeni
Ukraińscy urzędnicy rządowi również regularnie informowali o rosyjskiej cyberaktywności. We wtorek krajowy zespół reagowania na incydenty komputerowe poinformował, że grupa znana jako Gamaredon lub Armageddon bezskutecznie wysyłała e-maile phishingowe ze złośliwymi załącznikami, które miały wyglądać jak dokumenty, dotyczące rzekomych rosyjskich zbrodni wojennych.
Rosyjskojęzyczne grupy cyberprzestępcze znane są również z wdrażania botnetów, w tym Trickbot i Emotet, które na cel wzięły zachodnie rządy i korporacje. Badacze cyberbezpieczeństwa twierdzą, że oba botnety mogą być powiązane ze znaną grupą cyberprzestępczą Conti, która jawnie poparła Putina w wojnie.
/NB
Czytaj też
Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.