Microsoft je u ponedjeljak najavio pravnu akciju kojom se želi poremetiti velika digitalna mreža kibernetskog kriminala koja koristi više od milijun zombi računala za pljačku bankovnih računa i širenje ransomwarea, što stručnjaci smatraju glavnom prijetnjom američkim predsjedničkim izborima.
Operacija za izbacivanje izvanmrežnih poslužitelja za upravljanje za globalni botnet koji koristi infrastrukturu poznatu kao Trickbot za zarazu računala zlonamjernim softverom pokrenuta je naredbom koju je Microsoft dobio na saveznom sudu u Virginiji 6. listopada. Microsoft je tvrdio da mreža kriminala zloupotrebljava njihov zaštitni znak.
"Teško je reći koliko će biti učinkovit, ali uvjereni smo da će imati vrlo dugotrajan učinak", rekao je Jean-Ian Boutin, voditelj istraživanja prijetnji u ESET-u, jednoj od nekoliko tvrtki za kibernetsku sigurnost koje su se udružile s Microsoftom za mapiranje naredbeno-upravljačkih poslužitelja. "Sigurni smo da će to primijetiti i bit će im teško vratiti se u stanje u kojem je botnet bio."
Stručnjaci za kibernetsku sigurnost rekli su da je pohvalna upotreba američkog sudskog naloga za promoravanje internetskih pružatelja usluga da uklone botnet poslužitelje. Ali dodaju kako nije očekivano da će biti uspješan jer ih previše neće udovoljiti i jer Trickbotovi operateri imaju decentralizirani zamjenski sustav i koriste šifrirano usmjeravanje.
Paul Vixie iz Farsight Securitya rekao je putem e-pošte "iskustvo mi govori da se neće proširiti - previše je IP-ova iza nekooperativnih nacionalnih granica." A tvrtka za kibernetsku sigurnost Intel 471 nije izvijestila o značajnom uspjehu u operacijama protiv Trickbota u ponedjeljak i predviđa "mali srednjoročni do dugoročni utjecaj" stoji u izvještaju podijeljenom s Associated Pressom.
No, stručnjak za ransomware Brett Callow iz tvrtke za cyber sigurnost Emsisoft rekao je da bi privremeni poremećaj Trickbota mogao, barem tijekom izbora, ograničiti napade i spriječiti aktivaciju ransomwarea na već zaraženim sustavima.
Najava je uslijedila nakon izvještaja Washington Posta u petak o velikom - ali u konačnici neuspješnom - naporu Cyber zapovjedništva američke vojske da demontira Trickbot početkom prošlog mjeseca izravnim napadima, umjesto da od pružatelja usluga traži da odbije hostiranje domena koje koriste poslužitelji za upravljanje.
Američka politika nazvana "ustrajni angažman" ovlašćuje američke cyberratnike da angažiraju neprijateljske hakere u cyber prostoru i ometaju njihovo poslovanje kodom, nešto što je Cybercom učinio protiv ruskih dezinformacijskih džokeja tijekom američkih privremenih izbora 2018. godine.
Stvoren 2016. godine, a koristi ga labavi konzorcij cyber kriminalaca koji govore ruski, Trickbot je digitalna nadgradnja za sijanje zlonamjernog softvera u računala nesvjesnih pojedinaca i web mjesta. Posljednjih mjeseci njegovi operateri sve je više iznajmljuju drugim kriminalcima koji su ga koristili za sijanje ransomwarea, koji šifrira podatke na ciljanim mrežama, osakaćujući ih dok žrtve ne plate.
Jedna od najvećih zabilježenih žrtava sorte otkupljivača koju je Trickbot zasijao pod nazivom Ryuk bio je lanac bolnica Universal Health Services, koji je rekao da je svih 250 njezinih američkih ustanova ometano u napadu koji je prošlog mjeseca prisilio liječnike i medicinske sestre da pribjegnu papiru i olovci.
Dužnosnici američkog Ministarstva domovinske sigurnosti ransomware navode kao glavnu prijetnju predsjedničkim izborima 3. studenoga. Strahuju da bi napad mogao zamrznuti državne ili lokalne sustave za registraciju birača, ometati glasanje ili onesposobiti web stranice s izvještajima o rezultatima.
Iako stručnjaci za kibernetsku sigurnost kažu da su operateri Trickbota i povezanih sindikata digitalnog kriminala govornici ruskog jezika uglavnom sa sjedištem u istočnoj Europi, upozoravaju da ih motivira profit, a ne politika. No, oni djeluju nekažnjeno, bez miješanja Kremlja, sve dok su im ciljevi u inozemstvu.
"U današnjem svijetu Trickbot je vrsta pošasti", rekao je Alex Holden, osnivač tvrtke Hold Security iz Milwaukeeja, koja pomno prati svoje aktivnosti na tamnoj mreži, "a vlada koja ignorira globalnu pošast više je nego samozadovoljna. "
Trickbot je "zlonamjerni softver-kao-usluga", a njegova modularna arhitektura omogućuje mu upotrebu kao mehanizam isporuke za širok spektar kriminalnih radnji. Počelo je uglavnom kao takozvani bankarski trojanac koji pokušava ukrasti podatke s internetskog bankovnog računa kako bi kriminalci mogli prijevarom prenijeti novac.
No, nedavno su istraživači primijetili porast upotrebe Trickbota u ransomware napadima usmjerenim na sve, od općinskih i državnih vlada do školskih okruga i bolnica. Ryuk i druga vrsta ransomwarea pod nazivom Conti - koji se također distribuiraju putem Trickbota - u rujnu su dominirali u napadima na američki javni sektor, rekao je Callow iz Emsisofta.
Holden je rekao da je prijavljeni prekid Cybercoma - koji uključuje napore da se njegova konfiguracija zbuni ubrizgavanjem koda - uspio privremeno prekinuti komunikaciju između poslužitelja za upravljanje i većine botova.
"Ali to teško može biti presudna pobjeda", rekao je, dodajući da se botnet vratio novim žrtvama i ransomwareom.
O prekidu - u dva vala koji su započeli 22. rujna - prvi je izvijestio novinar kibernetičke sigurnosti Brian Krebs.
AP nije mogao odmah potvrditi prijavljenu upletenost Cybercoma.
