MENU
Advertisement

CERT podsumowuje akcję unieszkodliwienia dużego botnetu

8 grudnia 2015CSO, Polecane tematy

Z oficjalnych informacji wynika, że 3 grudnia 2015 roku przeprowadzone zostały szeroko zakrojone działania mające na celu unieszkodliwienie botnetu Dorkbot. Funkcjonujące w ramach tej sieci botnet złośliwe oprogramowanie tylko w tym roku zainfekowało na całym świecie przynajmniej milion urządzeń z systemem Windows.

security

Botnet Dorkbot został po raz pierwszy wykryty w 2011 roku. Z przeprowadzonych analiz wynika, że sieć ta była wykorzystywana m.in. do kradzieży danych uwierzytelniających oraz dystrybucji innych rodzajów złośliwego oprogramowania. Dorkbot był także wykorzystywany do dezaktywacji oprogramowania antywirusowego działającego na zainfekowanych komputerach. Wiadomo również, że na czarnym rynku istniała możliwość nabycia oprogramowania niezbędnego do uruchomienia własnej sieci botnet wykorzystującej mechanizmy Dorkbot. Zainfekowane komputery były sterowane za pośrednictwem sieci IRC.

Z analiz CERT Polska wynika, że w naszym kraju złośliwe oprogramowanie zaczęło rozprzestrzeniać się trzy lata temu – głównie za pośrednictwem komunikatora Skype oraz poczty elektronicznej. Według ekspertów poza komunikatorami, Dorkbot do infekcji wykorzystywał również serwisy społecznościowe oraz nośniki USB. W Polsce, okresowo, ulokowany też elementy infrastruktury zarządzania siecią botnet. „Największym niebezpieczeństwem związanym z funkcjonowanie Dorkbota było wykorzystywanie go jako platformy do dystrybucji innych cyberzagrożeń” – mówi Piotr Kijewski, kierownik CERT Polska.

dorkbotLokalizacja komputerów wchodzących w skład botnetu Dorkbot, dane za ostatnie 6 miesięcy. Źródło: Microsoft

Na potrzeby działań mających na celu unieszkodliwienie sieci Dorkbot powołane zostało międzynarodowe konsorcjum firm oraz organizacji zaangażowanych w ochronę bezpieczeństwa IT. Na czele konsorcjum stanął koncern Microsoft. W jego skład wszedł również zespół CERT Polska oraz firma ESET, zespół US-CERT, FBI, Interpol, Europol oraz inne organy ścigania. W ramach współpracy eksperci CERT Polska przeanalizowali złośliwe oprogramowanie i dostarczyli informacji o zasadach jego funkcjonowania. Równocześnie przekazali dane telemetryczne dotyczące istniejących wirusów, a także uczestniczyli w konsultacjach w sprawie kierunku prowadzonych działań.

Unieszkodliwienie sieci Dorkbot było możliwe dzięki zablokowaniu działania infrastruktury zarządzającej botnetem. W dalszej kolejności generowany przez sieć ruch został przekierowany na odpowiednio spreparowane adresy IP. Obecnie trwają analizy w zakresie funkcjonowania botnetu. „Oszacowanie rzeczywistej liczby zainfekowanych komputerów będzie możliwe po dokonaniu szczegółowej analizy całego zagrożenia, ale według wstępnych szacunków skala infekcji w Polsce nie była znacząca” – dodaje Piotr Kijewski.

The following two tabs change content below.
Piotr Waszczuk

Piotr Waszczuk

Zastępca redaktora naczelnego ITwiz. O rynku nowych technologii pisze od 12 lat. Autor publikacji, wywiadów, artykułów oraz opracowań dotyczących trendów i wydarzeń rynku IT, a także systemów wspierających biznes oraz nowych technologii. Redaktor prowadzący Raporty ITwiz poświęcone technologii in-memory oraz rozwiązaniom cloud computing. Autor licznych relacji z konferencji branżowych, publikacji analitycznych, materiałów typu case study i tłumaczeń.

Podobne tematy:

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

« »

Zapisz się na nasz newsletter - otrzymasz 2 raporty

Ponad 50-cio stronicowe wydania w wersji PDF:

1. "Biznes In-memory"
2. "Cloud Computing:
      Aplikacje i Infrastruktura"

Wyślemy do Ciebie maksymalnie 4 wiadomości w miesiącu.

Dziękujemy

Na podany e-mail wysłaliśmy link z prośbą o weryfikację
adresu. Po kliknięciu w link otrzymasz dostęp do raportów.