Исследователи кибербезопасности заявляют о неэффективности мер, предпринятых Microsoft по уничтожению ботнета
По словам исследователей кибербезопасности, хотя Microsoft успешно отключила серверы ботнета Trickbot в США, почти два десятка других работают на международном уровне, что может стать причиной хаоса на выборах.
Исследователи кибербезопасности поставили под сомнение эффективность мер, предпринятых Microsoft по разрушению ботнета, который, как они опасались, мог бы обрушиться на государственные и местные компьютерные системы, чтобы посеять недоверие к предстоящим президентским выборам.
Софтверный гигант заявил в понедельник, что компания выиграла суд в Вирджинии, получив контроль над серверами в США, контролирующими ботнет Trickbot, сеть компьютеров, тайно зараженных вредоносным ПО, которым можно управлять удаленно. Это позволило Microsoft лишить хакеров возможности работать с выборами чуть более чем через две недели на фоне опасений, что они распространят программы-вымогатели для блокировки систем отчетности в день выборов, подорвав доверие избирателей.
Однако, американская компания Intel 471 по анализу угроз обнаружила, что Trickbot продолжает работать через четыре дня после того, как Microsoft захватила американские серверы ботнета. Швейцарский сайт безопасности Feodo Tracker обнаружил, что 18 таких серверов все еще активны и рассылают вредоносные программы через спам, несмотря на усилия Microsoft.
«Они определенно помешали им, но действия Microsoft не повлияли на способность Trickbot делать то, что они делали раньше», - сказал исполнительный директор Intel 471 Марк Арена.
Microsoft стремится разрушить российский криминальный ботнет, который, может стать причиной хаоса на президентских выборах.
Microsoft отключила все командно-управляющие серверы Trickbot в США. Однако по состоянию на полдень четверга 11 серверов за пределами страны, которые работали до действий Microsoft, все еще были в сети, от Джакарты, Индонезия, до голландской провинции Утрехт и Боготы, Колумбия, согласно данным Intel 471.
Более того, операторы Trickbot подключили еще десяток серверов за пределами США, в таких городах, как Амстердам, Берлин и Москва, как выяснила Intel 471.
Фирмы по кибербезопасности называют попытки Microsoft разрушить ботнет для защиты от вмешательства в выборы неэффективными
«Плохие парни узнали», - сказал Арена. «Они распространили их по всему миру. Они создали устойчивость и создали резервные копии».
Microsoft возражает и заявляет, что продолжает вести борьбу по разрушению Trickbot.
«Мы считаем, что нам удалось серьезно ограничить возможности Trickbot. Наша работа по устранению сбоев продолжается в США и во всем мире, и отчеты третьих сторон не отражают текущее состояние », - заявил в своем заявлении вице-президент Microsoft по безопасности и доверию клиентов Том Берт.
Киберкомандование стремилось нарушить работу крупнейшего в мире ботнета, надеясь уменьшить его потенциальное влияние на выборы.
Microsoft всегда ожидала, что хакеры, работающие с Trickbot, вернутся, чтобы восстановить его работу.
«Мы активно отслеживаем эти усилия и предпринимаем дополнительные и важные шаги в направлении прекращения работы ботнета», - сказал Берт. Компания отказалась раскрыть, что это за шаги.
По заявлению Microsoft, ботнет, управляемый операторами Trickbot, включает не менее 1 миллиона зараженных компьютеров, хотя другие аналитики считают, что это число составляет около 3 миллионов устройств. Эти зараженные компьютеры могут использоваться для распространения программ-вымогателей, а также для рассылки вредоносного спама ничего не подозревающим получателям.
Атака программ-вымогателей на выборы 2020 года может нарушить работу баз данных для голосования по всем штатам.
Фактически, даже после действий Microsoft, Trickbot использовался для рассылки спама вредоносных программ в США в пятницу, сказал Роман Хюсси, исследователь безопасности в abuse.ch, некоммерческой группе, которая управляет Feodo Tracker. По словам Хюсси, до сих пор тактика Microsoft в лучшем случае нарушила работу Trickbot на несколько дней, хотя он признал, что дальнейшие действия могут вызвать дополнительные проблемы для ботнета. Но с таким количеством работающих командно-управляющих серверов и продолжающейся рассылкой спама жертв кампания Microsoft по подрыву «не выглядит очень многообещающей», - сказал Хюсси.
Хотя некоторая инфраструктура ботнета была выведена из строя, киберпреступники перебрались на новые серверы и нашли способы привлечь новых жертв, сказал Алекс Холден, исполнительный директор Hold Security из Милуоки. По его словам, за последние несколько дней ботнет заразил более 1000 новых компьютеров в США и за их пределами.
«К сожалению, - сказал он, - ряд командно-управляющих серверов все еще активен».
Захватив в начале этой недели контроль над серверами в США, которые отправляют инструкции ботнету, Берт в интервью заявил, что Trickbot, управляемый русскоязычными преступниками, представляет собой «теоретическую, но реальную» угрозу честности выборов. Microsoft опасалась, что операторы Trickbot могут запустить атаки программ-вымогателей, которые не повлияют на фактические результаты выборов, а скорее ограничат способность избирательного участка сообщать результаты, например, подорвав доверие избирателей.
Не только Microsoft пыталась нарушить работу Trickbot. В последние недели киберкомандование США также начало кампанию против ботнета. А в четверг европейское политическое агентство Европол арестовало 20 человек, предположительно принадлежащих к международной сети, которая отмывала миллионы евро, украденные киберпреступниками с помощью вредоносных схем, а также помогала операторам Trickbot.
Таким образом, хотя эффективность попыток Microsoft нарушить работу Trickbot ограничена, «тройной удар» действий компании вместе с Cyber Command и Европолом снизит вероятность того, что хакеры будут использовать Trickbot для уничтожения программ-вымогателей, - сказал Гэри Уорнер, директор по исследованиям. в области компьютерной криминалистики в Университете Алабамы в Бирмингеме.
По материалам: The Washingtonpost