Német, amerikai és fehérorosz hatóságok együttműködésének eredményeként sikerült lekapcsolni az egyik legsikeresebb botnetet, az Andromedát. A fehérorosz rendőrség őrizetbe vett egy, az Andromeda adminisztrátoraként azonosított fehérorosz állampolgárt, akit az MTI híre szerint kártékony szoftverek árusításával gyanúsítanak.
Hat éve fedezték fel
Az Andromeda közismert probléma volt az IT-biztonsági cégek számára, számos elemzés született róla (egy kattintásnyira olvasható például az Infosec anyaga).
Meglehetősen kiterjed rendszert sikerült kiépíteni, a híradások szerint mintegy 2 millió zombigépből állt. A botnethez köthető a Wauchos néven azonosított trójai, mely hosszú időn át előkelő helyet foglalt el a vírustoplistákon. A trójai elsődleges célja az volt, hogy segítsen kártékony kódokat letölteni az internetről a fertőzött számítógépre, és biztosítani, hogy a támadó távolról tetszőleges kódot futtathasson a megtámadott rendszeren.
A trójainak, valamint azon keresztül az egész botnet működési mechanizmusának a feltárásán az ESET és a Microsoft közös erővel is mintegy másfél évet dolgozott. Az általuk végzett feltáró munka alapján sikerült eljutni a nyomozó hatóságoknak az üzemeltetőhöz is.
A fehérorosz rendőrség felvétele az Ar3s lakásán tartott házkutatásról
Fontos részlet volt a kirakósban egy tavalyi siker: decemberben számolták fel 25 ország és az Europol összefogásával a Avalanche botnetet, amely az egyik legkiterjedtebb volt a műfajában. Az Avalanche rendszerében több olyan fontos információt is találtak, melyek segítettek az Andromeda gyökeréig eljutni.
Adtak-vettek, jól kerestek
A botnetet üzemeltető Ar3s a már egy ideje ismert modellt követte: infrastruktúrát és támadó eszközöket adott el a kiberbűnözőknek, 130-140 ezer forintért már lehetett használni a botnethálózatot, pontom áron megszámított egy-egy szoftverfrissítést, de pár tízezer forintért lehetett tőle venni billenyűleütést naplózó programot (keylogger), adathalász- vagy kémprogramot is. (Két éve a Kaspersky Lab készített alapos tanulmányt az orosz kiberalvilág működési mechanizmusáról.)
Azt persze nehéz beazonosítani, hogy pontosan ki is a letartóztatott kiberbűnöző, de például egyes kiberszakértők szerint minimum erős a gyanúja annak, hogy Ar3s a posztszovjet térség egyik nagymenője, akihez több komoly kiberfegyver is köthető.
a melléklet támogatója a ONE Solutions
CIO kutatás
Merre tart a vállalati IT és annak irányítója?
Hiánypótló nagykép a hazai nagyvállalati informatikáról és az IT-vezetőkről: skillek, felelősségek, feladatkörök a múltban, a jelenben és a jövőben.
Töltse ki Ön is, hogy tisztábban lássa, hogyan építse vállalata IT-ját és saját karrierjét!
Az eredményeket május 8-án ismertetjük a 17. CIO Hungary konferencián.
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?