Hoạt động Qakbot của FBI mở ra cơ hội cho nhiều cuộc triệt phá mạng botnet hơn

Tác giả sysadmin, T.M.Hai 12, 2023, 03:48:49 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Hoạt động Qakbot của FBI mở ra cơ hội cho nhiều cuộc triệt phá mạng botnet hơn


Việc FBI triệt phá mạng botnet QakBot gần đây đã gây chấn động khắp cộng đồng an ninh mạng khi nó được công bố lần đầu tiên vào tuần trước. QakBot đã trở thành phần mềm độc hại được hàng chục nhóm hack và tổ chức ransomware sử dụng để chuẩn bị cho các cuộc tấn công tàn khốc.

Kể từ khi nổi lên vào năm 2007 như một công cụ dùng để tấn công các ngân hàng, phần mềm độc hại này đã phát triển thành một trong những loại phần mềm độc hại phổ biến nhất trên thế giới, thu hút số lượng máy ngày càng tăng vào mạng lưới thiết bị bị xâm nhập mạnh mẽ của nó. Các quan chức Bộ Tư pháp cho biết việc họ truy cập vào bảng điều khiển của botnet cho thấy nó đang khai thác sức mạnh của hơn 700.000 máy, trong đó có hơn 200.000 máy chỉ riêng ở Mỹ.

Nhưng điều thú vị không kém việc gỡ bỏ là cách các cơ quan thực thi pháp luật giải quyết tình trạng gián đoạn.

1. Chiến dịch triệt phá mạng botnet QakBot của FBI


Các quan chức cấp cao của FBI và Bộ Tư pháp - những người gọi đây là "hoạt động tài chính và công nghệ quan trọng nhất mà Bộ Tư pháp từng tiến hành nhằm chống lại mạng botnet" – giải thích trong một cuộc họp ngắn rằng họ đã tìm cách xâm nhập vào cơ sở hạ tầng của mạng botnet và thực hiện một loạt hành động để đóng cửa. nó xuống.

Bằng lệnh của tòa án, các cơ quan thực thi pháp luật đã triển khai tính năng tự động cập nhật của botnet để gửi đi một ứng dụng tùy chỉnh nhằm gỡ cài đặt QakBot và vô hiệu hóa tính năng này trên các thiết bị ở Hoa Kỳ.

John Hammond, nhà nghiên cứu bảo mật chính của công ty tình báo an ninh mạng Huntress, cho biết: "Cứ như thể ông chủ đã ra lệnh 'rời khỏi nơi làm việc này và không được quay lại'".

Chester Wisniewski, CTO lĩnh vực nghiên cứu ứng dụng tại Sophos, cho biết chiến thuật này khiến ông nhớ đến NotPetya, nơi tính năng tải xuống phần mềm bị tin tặc Nga lạm dụng để tải xuống phần mềm độc hại thay vì cập nhật.

Wisniewski cho biết: "Hầu hết tất cả các botnet hiện đại đều có chức năng tự động cập nhật và nếu bạn có thể giành quyền kiểm soát các kênh liên lạc thì về cơ bản bạn có thể khiến chúng tự hủy". "Tuy nhiên, nếu chúng tôi bắt đầu thành công với điều đó, bọn tội phạm có thể bắt đầu sử dụng chữ ký điện tử để khiến việc này trở nên khó khăn hơn."

2. Các botnet khác

FBI và các cơ quan thực thi pháp luật khác trước đây đã tiến hành các hoạt động tương tự để triệt hạ các mạng botnet.

Việc FBI nhắm mục tiêu vào phần mềm độc hại Snake do Điện Kremlin hậu thuẫn vào tháng 5, cũng như hoạt động phá vỡ phần mềm độc hại Cyclops Blink, là những ví dụ về loại hành động tấn công mà các cơ quan thực thi pháp luật hiện đang thực hiện để không chỉ xóa phần mềm độc hại khỏi các thiết bị ở Hoa Kỳ. nhưng giảm kích thước của các botnet mạnh gây ra tác hại đáng kể.

Các chuyên gia đã phát tán các botnet khác mà cơ quan thực thi pháp luật có thể cố gắng phá vỡ, như IcedID, LokiBot và AgentTesla. Sergey Shykevich của Check Point Software cho biết mặc dù các dòng phần mềm độc hại Formbook và Guloader hơi khác so với QakBot nhưng chúng cũng có thể bị gỡ bỏ theo cách tương tự.

Mặc dù vậy, những cuộc triệt phá trong quá khứ - đáng chú ý nhất là của Emotet - hầu như không ngăn cản được các nhóm cải tổ.

Shykevich cho biết hoạt động QakBot có thể được nhân rộng trong một số điều kiện, nhưng nó phụ thuộc vào tài sản nào nằm dưới sự kiểm soát của cơ quan thực thi pháp luật.

Trong trường hợp gỡ bỏ Emotet, một tệp cập nhật đã được gửi từ máy chủ đến nạn nhân để ngăn botnet liên lạc thêm với các máy tính bị nhiễm. Shykevich gợi ý rằng FBI có thể tiến hành một hoạt động giống như QakBot trên Emotet, vốn đã chứng kiến sự hồi sinh trong những năm gần đây nhờ hàng nghìn ca nhiễm mới.

Khi được hỏi về các vụ bắt giữ có thể xảy ra cùng với việc triệt phá QakBot, các quan chức của Bộ Tư pháp và FBI chỉ nói rằng họ chưa thông báo bất kỳ điều gì vào lúc này.

Wisniewski nói: "Nếu những kẻ phạm tội không ngồi sau song sắt, chúng có thể sẽ tiếp tục và xây dựng lại vì đơn giản là có quá nhiều tiền để bỏ đi".

"Tuy nhiên, khó có thể nói liệu có bản cáo trạng được niêm phong hay họ tin rằng họ có thể đã khiến họ phải trốn tránh."

Keith Jarvis của Đơn vị chống mối đe dọa Secureworks cho biết, có vẻ như trọng tâm chính của FBI là ngăn chặn các tác nhân đe dọa QakBot lấy lại các hệ thống bị nhiễm trong mạng botnet hiện tại.

Ông giải thích, các tác nhân đe dọa có thể nỗ lực tái tạo lại mạng botnet bằng cách tạo một mạng mới hoàn toàn, đồng thời nói thêm rằng trước đây đã cho thấy các cuộc triệt phá không đi đôi với việc bắt giữ thường dẫn đến việc các tác nhân đe dọa cố gắng quay trở lại.

Ông nói: "Nhưng về mặt lịch sử, những nỗ lực đó phần lớn không có hiệu quả.

Shykevich cảnh báo rằng vẫn chưa rõ liệu hoạt động của QakBot chỉ là một sự gián đoạn khiến hoạt động của họ phải tạm dừng trong vài tháng hay đó là một cuộc triệt phá hoàn toàn.

Hammond nói: "Cơ sở hạ tầng bị tháo dỡ không trực tiếp có nghĩa là mã nguồn bị phá hủy hoặc mọi người đã bị bắt hoặc nhiệm vụ bị chặt đầu". "Rất có thể họ vẫn đang hoạt động. Họ có thể tổ chức lại, xây dựng lại, đổi thương hiệu. Có lẽ đến lúc nào đó, Qakbot có thể hoạt động trở lại, nhưng chúng tôi vẫn lạc quan một cách thận trọng và ăn mừng những chiến thắng này nhằm góp phần chống lại tội phạm mạng."

Austin Berglas, cựu đặc vụ của FBI Cyber Division, cho biết luôn có mối lo ngại về khả năng tái xuất hiện của các nhóm, đặc biệt là những nhóm vận hành các mạng botnet mạnh mẽ.

"Nó rất giống với một băng đảng đường phố bán ma túy ở góc phố. Nếu cảnh sát tăng cường sự hiện diện và ngăn chặn băng đảng bán ma túy ở góc cụ thể đó, thì không có gì ngăn cản chúng đi đến khu vực khác của thành phố, thiết lập hoạt động và tiếp tục hoạt động," Berglas, hiện là người đứng đầu bộ phận chuyên môn toàn cầu cho biết. dịch vụ tại BlueVoyant.

"Việc phá hủy thực sự một tổ chức đòi hỏi phải xác định, bắt giữ và truy tố nhân sự cũng như phá bỏ cơ sở hạ tầng kỹ thuật."