Unieszkodliwiono botnet infekujący ponad 2 mln komputerów miesięcznie

We wspólnej operacji uczestniczyły FBI, Europol i Białoruski Komitet Śledczy, a także niemieckie służby współpracujące z zespołem bezpieczeństwa Microsoftu i badaczami z ESET. Na przestrzeni lat eksperci obserwowali botnet Wauchos, dzięki czemu mogli zidentyfikować kontrolowane serwery oraz instalowane złośliwe oprogramowanie.

Botnet to sieć komputerów zainfekowanych złośliwym oprogramowaniem pozwalającym cyberprzestępcom na zdalne kontrolowanie maszyn bez wiedzy ich właścicieli. Próbki złośliwego oprogramowania były rozpowszechniane na całym świecie za pośrednictwem mediów społecznościowych, komunikatorów, nośników pamięci (w tym USB), niechcianej korespondencji i wykorzystywania istniejących już podatności bezpieczeństwa. Europol szacuje, że 55 proc. urządzeń zainfekowanych przed rokiem wciąż zawiera złośliwe oprogramowanie.

W przeprowadzonej na przełomie listopada i grudnia 2017 roku operacji unieszkodliwienia botnetu wykorzystano techniki określane jako "sinkholing", w ramach których treści z zainfekowanych urządzeń były przekierowywane na serwery policyjne. W ciągu 48 godzin z wyznaczonymi serwerami łączyły się ponad 2 mln unikalnych adresów IP. Zlikwidowana przez międzynarodowe służby Andromeda była jedną z najdłużej działających sieci tego typu. Botnet był aktywny co najmniej od września 2011 roku. Eksperci z ESET zaklasyfikowali go jako Win32/TrojanDownloader.Wauchos.

Przez lata złośliwe oprogramowanie było wielokrotnie modyfikowane i rozbudowywane, między innymi o wtyczkę umieszczającą zaszyfrowane zagrożenie w rejestrze systemu, co utrudniało jego wykrycie – tłumaczy analityk zagrożeń z ESET Kamil Sadkowski. Inna modyfikacja umożliwiała botnetowi sprawdzanie, jaki język klawiatury został ustawiony przez użytkownika. "Jeśli złośliwe oprogramowanie wykryje język rosyjski, ukraiński, białoruski lub kazachski, zaprzestanie dalszej infekcji" – dodaje Sadkowski.

Z wykorzystaniem usługi ESET Threat Intelligence badacze zbudowali specjalnego bota, który mógł komunikować się ze zdalnym serwerem kontrolowanym przez cyberprzestępców. Dzięki temu programowi eksperci z ESET i Microsoft byli w stanie monitorować botnet przez ostatnie 1,5 roku, identyfikując jego serwery, a także monitorując, jakie oprogramowanie zostało zainstalowane na komputerach ofiar.

Służby niemieckie przejęły kontrolę nad większą częścią sieci, a białoruscy śledczy zatrzymali podejrzanego o kierowanie siatki przestępczej związanej z botnetem i skonfiskowali sprzęt w jego biurach w Gomel, drugim największym mieście na Białorusi. Jego władze zapewniły o współpracy w śledztwie.