התקיים מבצע גדול להפלת רשת בוטנט המכונה Andromeda

התקיים מבצע גדול להפלת רשת בוטנט המכונה Andromeda
מאת: מערכת Telecom News, 5.12.17, 18:44
 
זו משפחת נוזקות האחראית להדבקה של 1.1 מיליון מערכות ביום, שהפיצה, בין היתר, את נוזקות הכופר הידועות Petya ו-Cerber. רשת הבוטנט פרוסה ב-223 מדינות. מה זה Andromeda? מי היו הקורבנות? איך נאסף המודיעין? מה על המשתמשים לעשות אם הם חושדים שהמערכת שלהם נפרצה?
 
חוקרי האבטחה של ESET בשיתוף עם מיקרוסופט, סוכנויות אכיפת החוק: ה-FBI, האינטרפול, היורופול, וגורמים נוספים בתחום אבטחת המידע, לקחו חלק במבצע גדול להפלת רשת בוטנט המכונה Andromeda, שמדביק קורבנות כבר מ-2011.
 
שיתוף הפעולה בין הגורמים החל ב-29.11.17, וכתוצאה מהמאמץ המשותף, רשויות אכיפת החוק ברחבי העולם הצליחו לבצע מעצר ולחסום פעילות של משפחת נוזקות האחראית להדבקה של 1.1 מיליון מערכות ביום, והפיצה, בין היתר, את נוזקות הכופר הידועות Petya ו-Cerber.
 
ESET וחוקרי מיקרוסופט שיתפו ניתוחים טכניים, מידע סטטיסטי וכתובות דומיינים של שרתי שליטה ובקרה (C&C) כדי לסייע בשיבוש הפעילות הזדונית של הקבוצה. ESET גם שיתפה במהלך השנה וחצי האחרונות מידע על Andromeda, שנרכש מהניטור המתמיד של תוכנות זדוניות ורשתות בוטנט.
 
רשויות האכיפה בבלרוס עצרו חשוד ביצירה של הקוד הזדוני של Andromeda, דבר שלא היה מתאפשר ללא המידע שסופק להן. במהלך 48 השעות הראשונות שלאחר התפיסה של שרתי השליטה והבקרה ע"י הרשויות, התגלה, שהרשת פרוסה כרגע ב-223 מדינות, כאשר יותר מ-2 מיליון מחשבים נגועים ניסו להתחבר אליה.
 
כאשר מדברים על בוטנט הכוונה היא למערך נוזקות הנמצא על מחשבים רבים המחוברים לשרת שליטה ובקרה. הבוטנט מאפשר לתוקפים לשדר למערכות שנפרצו פקודות מרחוק דרך שרת בקרה ושליטה, בין אם זה לשתול נוזקות, להצפין קבצים, לכרות ביטקוין ועוד.
 
מה זה Andromerda?
,Andromeda שידועה גם בשם Wauchos או Gamarue, היא רשת בוטנט, שנוצרה כבר בספטמבר 2011 ונמכרה כערכת פשיעה בפורומים מחתרתיים בדארק נט. המטרה של משפחת הנוזקות Gamarue היא לגנוב פרטי כניסה לחשבונות ולאחר מכן להוריד ולהתקין תוכנות זדוניות נוספות על מערכות המשתמשים.

זו משפחה של תוכנות זדוניות המאפשרת בוט בהתאמה אישית. כלומר, הבעלים יכולים ליצור ולהשתמש בתוספים מותאמים אישית. תוסף אחד מאפשר לפושעי הסייבר לגנוב תוכן, שהוזן ע"י משתמשים בטופסי אינטרנט, בעוד שתוסף אחר מאפשר לפושעים להתחבר חזרה ולשלוט במערכות שנפרצו.
 
הפופולריות של הנוזקה גרמה למספר בוטנטים של Andromeda להיות "עצמאיים" ובעצם להתפשט לבד. למעשה, ESET מצאה, שדגימות של הנוזקה הופצו ברחבי העולם באמצעות מדיה חברתית, הודעות מיידיות, דואר זבל וערכות פריצה.
 
מי היו הקורבנות?
החל ממשתמשים ביתיים, עסקים קטנים ובינוניים ועד לתאגידים גדולים. כל מי שנפל בהונאות כמו דואר זבל, קישורים זדוניים ברשתות החברתיות ועוד. בעוד האיום הוא גלובלי, הנתונים מראים, שמדינות אסיה במיוחד נפגעו קשות ע"י Andromeda.
 
איך ESET ומיקרוסופט אספו את המודיעין?
החוקרים של ESET הצליחו לבנות בוט, שיכול לתקשר עם שרתי השליטה והבקרה של הנוזקה באמצעות מערכת המודיעין המתקדמת בה נעשה שימוש. כתוצאה מכך, ESET ומיקרוסופט היו מסוגלות לעקוב אחר הבוטנטים של Andromeda במשך השנה וחצי האחרונות, תוך מעקב אחר מה שהותקן במערכות הקורבנות, ולבסוף הסרה של שרתי השליטה והבקרה שלהם. 2 החברות הכינו מאז רשימה של כל כתובות הדומיינים המשמשים את פושעי הסייבר.
 
מה על המשתמשים לעשות אם הם חושדים שהמערכות שלהם נפרצו?
פושעי הסייבר משתמשים ב-Andromeda כדי לגנוב תוכן, שהוזן ע"י משתמשים בטופסי אינטרנט וכך בעצם לגנוב פרטי גישה לחשבונות ממשתמשים פרטיים. החוקרים של ESET זיהו גם הפצות של Andromeda במודל תשלום עבור כל מחשב מודבק (pay-per install).
 
מומלץ למשתמשים, שחוששים שמערכת ההפעלה שלהם (Windows) עלולה להימצא בסכנה, להשתמש בכלי אבטחה, כמו הכלי החינמי הזה, שיסירו כל איום, כולל Andromeda, שנמצא במערכת.
 
ז'אן לאן בוטין, חוקר נוזקות בכיר ב-ESET: "בעבר, Wauchos הייתה המשפחה הזדונית המזוהה ביותר בקרב משתמשי ESET. כך, שכאשר נתבקשנו ע"י מיקרוסופט לקחת חלק במאמץ משותף, כדי להגן טוב יותר על המשתמשים שלנו ועל כלל הציבור הרחב, זה היה ברור, שנסכים לשתף פעולה.
 
האיום הזה נמצא בסביבה כבר כמה שנים והוא ממציא את עצמו מחדש ללא הרף, דבר העלול להקשות על הניטור. עם זאת, באמצעות שימוש בטכנולוגיות של ESET ובשיתוף פעולה עם חוקרי מיקרוסופט, הצלחנו לעקוב אחר השינויים בהתנהגות של הנוזקה, ולפיכך לספק נתונים ואופציות לפעולה, שנתנו ערך רב למאמצי ההסרה הללו".
 
מידע נוסף ניתן למצוא - כאן ו-כאן.