Microsoft udaremnił potężny atak hakerski na USA. Stali za nim Rosjanie Strona główna Aktualności13.10.2020 16:39 fot. Mikhail Svetlov/Getty Images Udostępnij: O autorze Jakub Krawczyński @jak.kra Firma Microsoft wraz z kilkoma amerykańskimi organizacjami rozbiła sieć botów zwaną Trickbot. Stojący za operacją sprawcy mogli mieć intencje zdezaktywowania systemów komputerów służących do przeprowadzania wyborów w USA. Aby udaremnić rosyjską operację, Microsoft potrzebował federalnego nakazu sądowego, który pozwolił na wyłączenie adresów IP powiązanych z usługami Trickbota. Gigant z Redmond przeanalizował łącznie około 61 tysięcy próbek złośliwego oprogramowania, jakie rozsyłała sieć botów. Dopiero wtedy był w stanie podjąć właściwe kroki, współpracując między innymi z amerykańskim Cyber Command, czyli narodową agencją ds. cyberbezpieczeństwa oraz dostawcami usług telekomunikacyjnych i producentami oprogramowania do zabezpieczeń (ESET, Symantec). Trickbot odpowiadał za rozsyłanie złośliwego oprogramowania (tzw. malware), tworząc siatkę komputerów i urządzeń "zombie", które po zainfekowaniu służyły do dalszego wykonywania ataków z żądaniem okupu (tzw. ransomware). Ataki dotyczyły nie tylko komputerów, ale i urządzeń tzw. internetu rzeczy (czyli innego typu urządzeń elektronicznych mogących połączyć się z siecią). Gdy sieć botów infekowała jeden komputer, zyskiwała dostęp do kontaktów mailowych, do których wysyłała złośliwy kod. Operacja trwała 10 dni, a Microsoft wraz z Cyber Command w tym czasie robili wszystko co mogli, aby oszukać i przechytrzyć serwery botnetu oraz ich operatorów, tak aby odcięły się wzajemnie od połączenia. Wymagało to stworzenia milionów fałszywych rekordów o rzekomych nowych ofiarach. Niestety Tom Burt, szef działu bezpieczeństwa w Microsofcie uważa, że przestępcy stojący za atakiem będą mogli ponownie zaatakować, zmieniając nieco sposób działania i swoje podejście. Trickbot może być zaangażowany ponownie do tego celu. Został on wyłącznie odcięty z zainfekowanych maszyn i nie będzie mógł ze swojego punktu dostępu zarażać dalszych urządzeń. Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Ransomware Cyborg: Windows Update w pliku JPG? Niektórzy dali się oszukać 20 lis 2019 Piotr Urbaniak Oprogramowanie Internet Bezpieczeństwo 44 Ransomware w komputerach policji w Nowym Jorku. Infekcja przeniosła się z NUC-a 26 lis 2019 Oskar Ziomek Oprogramowanie Internet Bezpieczeństwo 29 Cerberus pod lupą. Analiza popularnego malware na Androidy 4 lis 2019 Bolesław Breczko Bezpieczeństwo 11 Apple usuwa apkę z App Store pod zarzutem śledzenia ludzi i wcale nie chodzi o malware 12 lis 2019 Piotr Urbaniak Oprogramowanie Internet Bezpieczeństwo 11
Udostępnij: O autorze Jakub Krawczyński @jak.kra Firma Microsoft wraz z kilkoma amerykańskimi organizacjami rozbiła sieć botów zwaną Trickbot. Stojący za operacją sprawcy mogli mieć intencje zdezaktywowania systemów komputerów służących do przeprowadzania wyborów w USA. Aby udaremnić rosyjską operację, Microsoft potrzebował federalnego nakazu sądowego, który pozwolił na wyłączenie adresów IP powiązanych z usługami Trickbota. Gigant z Redmond przeanalizował łącznie około 61 tysięcy próbek złośliwego oprogramowania, jakie rozsyłała sieć botów. Dopiero wtedy był w stanie podjąć właściwe kroki, współpracując między innymi z amerykańskim Cyber Command, czyli narodową agencją ds. cyberbezpieczeństwa oraz dostawcami usług telekomunikacyjnych i producentami oprogramowania do zabezpieczeń (ESET, Symantec). Trickbot odpowiadał za rozsyłanie złośliwego oprogramowania (tzw. malware), tworząc siatkę komputerów i urządzeń "zombie", które po zainfekowaniu służyły do dalszego wykonywania ataków z żądaniem okupu (tzw. ransomware). Ataki dotyczyły nie tylko komputerów, ale i urządzeń tzw. internetu rzeczy (czyli innego typu urządzeń elektronicznych mogących połączyć się z siecią). Gdy sieć botów infekowała jeden komputer, zyskiwała dostęp do kontaktów mailowych, do których wysyłała złośliwy kod. Operacja trwała 10 dni, a Microsoft wraz z Cyber Command w tym czasie robili wszystko co mogli, aby oszukać i przechytrzyć serwery botnetu oraz ich operatorów, tak aby odcięły się wzajemnie od połączenia. Wymagało to stworzenia milionów fałszywych rekordów o rzekomych nowych ofiarach. Niestety Tom Burt, szef działu bezpieczeństwa w Microsofcie uważa, że przestępcy stojący za atakiem będą mogli ponownie zaatakować, zmieniając nieco sposób działania i swoje podejście. Trickbot może być zaangażowany ponownie do tego celu. Został on wyłącznie odcięty z zainfekowanych maszyn i nie będzie mógł ze swojego punktu dostępu zarażać dalszych urządzeń. Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji