A Microsoft hétfőn jelentette be, hogy összehangolt jogi és technológiai lépések megtételével sikerült összeomlasztania a világ egyik legveszélyesebb botnetét. A Trickbot nevű hálózat elleni fellépést egy amerikai bírósági határozat tette lehetővé, amelynek nyomán lelőtték a megfelelő IP címeket, elérhetetlenné tették a vezérlőszervereket, és nem csak a botnet irányítói által igénybevett szolgáltatásokat függesztették fel, de azt is sikeresen megakadályozták, hogy a bűnözők újabb kapacitásokat vásároljanak vagy béreljenek.

A közlemény szerint olyan összehangolt akcióról volt szó, amelyben a Microsoft mellett a Symantec, az ESET, a Lumen (Black Lotus Labs), a Broadcom vagy az NTT megfelelő részlegei is szerepet vállaltak, nem beszélve a globális akcióba bevont internetszolgáltatókról és incidenskezelő központokról (CERT). A Microsoft kiberbűnözés elleni szervezete (DCU) állítólag most alkalmazta először azt a megközelítést, hogy a társaság szoftverkódjainak rosszhiszemű felhasználását szerzői jogi alapon is megtámadta, ami polgári jogi eszközöket biztosított a határokon átnyúló fellépésre.

Maga a Trickbot a Microsoft becslése szerint több mint egymillió fertőzött eszközhöz fért hozzá világszerte. A 2016 óta működő hálózat üzemeltetőit egyelőre nem sikerült azonosítani, bár a közlemény szerint állami megrendelőket és bűnözői csoportokat is kiszolgáltak. A Microsoft az elmúlt időszakban több mint 60 ezer mintát elemzett a Trickbot malware-fertőzéseiből, és ezek alapján a program folyamatosan változó, moduláris képességeit találta igazán veszélyesnek.

Célpontok a választási rendszertől a banki oldalakig

Ezáltal ugyanis minddig az operátorok igányeinek megfelelően használták fel a célpontokat, egyfajta "malware-as-a-service" szolgáltatásként működtetve a botnetet. A bűnözők úgy biztosítottak hozzáférést megrendelőiknek a korrumpált gépekhez, hogy eszközöket is biztosítottak számukra sokféle kártékony program, így zsarolóprogramok céla juttatásához is. A személyi számítógépeken túl ráadásul IoT eszközöket, útválasztókat is megfertőztek, lényegesen kiterjesztve a Trickbot hozzáféréseit az otthoni vagy szervezeti rendszerekre.

A botnet működésének részleteivel kapcsolatban érdemes végigfutni a Microsoft közleményét, amelyből az is kiderül, hogy egy ilyen méretű és ilyen beágyazottsággal rendelkező botnet a küszöbön álló amerikai elnökválasztás informatikai környezetére is nagyon komoly veszélyt jelentett volna. Ugyanakkor a Microsoft szerint – ebben az esetben legalábbis – sikerült levágni a hálózat működtetéséhez szükséges infrastruktúrát, vagyis a Trickbot már sem az újabb gépeket nem tudja megfertőzni, sem az eddig telepített rosszindulatú kódokat, így a ransomware állományokat sem tudja aktiválni.

A Trickbot a választási infrastruktúra mellett a pénzügyi szolgáltatókra, kormányügynökségekre, egészségügyi intézményekre, üzleti és oktatási szervezetekre nézve is hasonló fenyegetést hordozott, tekintettel arra, hogy milyen sokféle malware telepítésére nyújtott lehetőségeket. A Microsoft szerint a botnet célpontjai között ugyanúgy ott voltak a nemzetközi bankok és fizetési szolgáltatók, mint a regionális hitelintézetekig, így az amerikai Financial Services Information Sharing and Analysis Center (FS-ISAC) együttműködése kritikus fontosságúnak bizonyult a mostani bíróségi keresetek sikerében is.

Legutóbb idén tavasszal számoltunk be róla, hogy a Microsoft sikeresen lekapcsolta az egyik legdurvább botnetet. A Necurs néven hivatkozott hálózat legalább nyolc éven keresztül működött, és már több mint 9 millió fertőzött számítógépet használt világszerte. A 2012-ben felfedezett botnet kiiktatása nyolcéves munka eredménye volt, és a Microsoft szerint a mögötte álló, feltehetően orosz bűnözők a későbbiekben sem lesznek már képesek felhasználni az infrastruktúra legfontosabb elemeit újabb kibertámadásokhoz.