CyberbezpieczeństwoPolecane tematy
CERT podsumowuje akcję unieszkodliwienia dużego botnetu
Z oficjalnych informacji wynika, że 3 grudnia 2015 roku przeprowadzone zostały szeroko zakrojone działania mające na celu unieszkodliwienie botnetu Dorkbot. Funkcjonujące w ramach tej sieci botnet złośliwe oprogramowanie tylko w tym roku zainfekowało na całym świecie przynajmniej milion urządzeń z systemem Windows.
Botnet Dorkbot został po raz pierwszy wykryty w 2011 roku. Z przeprowadzonych analiz wynika, że sieć ta była wykorzystywana m.in. do kradzieży danych uwierzytelniających oraz dystrybucji innych rodzajów złośliwego oprogramowania. Dorkbot był także wykorzystywany do dezaktywacji oprogramowania antywirusowego działającego na zainfekowanych komputerach. Wiadomo również, że na czarnym rynku istniała możliwość nabycia oprogramowania niezbędnego do uruchomienia własnej sieci botnet wykorzystującej mechanizmy Dorkbot. Zainfekowane komputery były sterowane za pośrednictwem sieci IRC.
Z analiz CERT Polska wynika, że w naszym kraju złośliwe oprogramowanie zaczęło rozprzestrzeniać się trzy lata temu – głównie za pośrednictwem komunikatora Skype oraz poczty elektronicznej. Według ekspertów poza komunikatorami, Dorkbot do infekcji wykorzystywał również serwisy społecznościowe oraz nośniki USB. W Polsce, okresowo, ulokowany też elementy infrastruktury zarządzania siecią botnet. „Największym niebezpieczeństwem związanym z funkcjonowanie Dorkbota było wykorzystywanie go jako platformy do dystrybucji innych cyberzagrożeń” – mówi Piotr Kijewski, kierownik CERT Polska.
Lokalizacja komputerów wchodzących w skład botnetu Dorkbot, dane za ostatnie 6 miesięcy. Źródło: Microsoft
Na potrzeby działań mających na celu unieszkodliwienie sieci Dorkbot powołane zostało międzynarodowe konsorcjum firm oraz organizacji zaangażowanych w ochronę bezpieczeństwa IT. Na czele konsorcjum stanął koncern Microsoft. W jego skład wszedł również zespół CERT Polska oraz firma ESET, zespół US-CERT, FBI, Interpol, Europol oraz inne organy ścigania. W ramach współpracy eksperci CERT Polska przeanalizowali złośliwe oprogramowanie i dostarczyli informacji o zasadach jego funkcjonowania. Równocześnie przekazali dane telemetryczne dotyczące istniejących wirusów, a także uczestniczyli w konsultacjach w sprawie kierunku prowadzonych działań.
Unieszkodliwienie sieci Dorkbot było możliwe dzięki zablokowaniu działania infrastruktury zarządzającej botnetem. W dalszej kolejności generowany przez sieć ruch został przekierowany na odpowiednio spreparowane adresy IP. Obecnie trwają analizy w zakresie funkcjonowania botnetu. „Oszacowanie rzeczywistej liczby zainfekowanych komputerów będzie możliwe po dokonaniu szczegółowej analizy całego zagrożenia, ale według wstępnych szacunków skala infekcji w Polsce nie była znacząca” – dodaje Piotr Kijewski.