Az Avast augusztus végi beszámolója szerint a francia rendőrségnek sikerült átvennie az uralmat egy kriptovaluta-bányászatra használt botnet rendszer fölött, és semlegesítette is a jelentős kiterjedésű hálózatot. A társaság közleményéből kiderül, hogy a Retadup néven hivatkozott malware-ről van szó, amely a Trend Micro adatbázisában már tavaly áprilisban is több változatban szerepelt. A Retadup féreg elsődleges felhasználása szerint a megfertőzött gépek erőforrásait használja fel a bányászathoz, de ettől függetlenül arra is alkalmas, hogy biztosítsa más rosszindulatú kódok futtatását az érintett eszközökön – ilyen például a Stop zsarolóvírus vagy az Arkei PWS.

A malware legelső azonosítása óta világszerte elterjedt, főként az Egyesült Államokban, Oroszországban, illetve Közép- és Dél-Amerikában. Az Avast, miután felfedezett egy kihasználható hibát a Retadup irányítószervereit illetően, a felfedezését a francia rendőrség kiberbűnözés elleni részlegével is megosztotta. Ez lehetővé tette, hogy az áldozatok számítógépeiről anélkül töröljék a kártevőket, hogy ahhoz szükség lett volna bármilyen másik kód áttöltésére. Ilyesmire egyébként az Avast szakemberei egymagukban is képesek lettek volna, de ilyesmit legálisan csak a hatóságok bevonásával lehet elvégezni.

Milliónyi áldozat, sok millió eurós haszon

Mivel a botnetet irányító infrastruktúra fizikailag Franciaországban működött, a biztonsgi cég márciusban a francia hatóságokhoz fordult. Itt júliusban született meg az ügyészségi jóváhagyás, annak nyomán pedig a rendőrség lefoglalta a szervereket és a szakemberek megtisztították az elérhető magángépeket is. A bejelentés alapján több mint 850 ezer darab számítógépről van szó, ezzel állítólag ez volt a világ jelenleg működő egyik legnagyobb kiterjedésű botnet-hálózata – természetesen ilyenkor mindig hozzá kell tenni, hogy biztonsági kutatók rendelkezésére álló információ alapján.

Az Avast beszámolója kiemeli, hogy az akcióba bevonták a szervereket kiszolgáló távközlési operátort is, de összességében nagyon óvatosnak kellett lenniük, mert tartottak tőle, hogy a bűnözők hatékony válaszlépéseket tehetnek. Bár a kriptovaluta-bányászat stabil bevételi forrást jelent, így maguktól nem sok értelme lett volna felrúgniuk az asztalt. Az Avast szerint azonban benne volt a pakliban, hogy ha megneszelik a teljes hálózat semlegesítésére irányuló törekvéseket, akkor elárasztják a fertőzőtt gépeket zsarolóvírusokkal, hogy még egy utolsót kaszálhassanak az áldozatokon.

A rendőrség szóvivője szerint a bűnözők a rendszer működtetésével összességében több millió euró értékű kriptovalutára tettek szert. A tájékoztatás arra is kitért, hogy a botnet-hálózatok távolról történő leállítása és eltakarítása egyáltalán nem gyakori dolog: a legutóbb az FBI nevéhez fűződött a Joanap botnet hasonló módon való kiiktatása, melyet az észak-koreai rezsimhez köthető hekkerek üzemeltettek. A szövetségi ügynökség aksióját egy néhány évvel ezelőtti törvénymódosítás tette lehetővé, amiben sokan egy veszélyes eszközt láttak a helyi bíróságok megkerülésére a távolról végrehajtott műveletek kapcsán: a kritikusok szerint nem jó precedens, ha az állami szervek egyetlen bíró engedélyélyével számítógépek millióit törheti fel.