Tarptautinės teisėsaugos ir kibernetinio saugumo atstovų pajėgos šią savaitę sutrikdė vieną reikšmingiausių pastarojo dešimtmečio „botnetų“ – EMOTET. Po koordinuotos tarptautinės operacijos tyrėjai perėmė šio tinklo infrastruktūros valdymą.
Tarptautinės teisėsaugos ir kibernetinio saugumo atstovų pajėgos šią savaitę sutrikdė vieną reikšmingiausių pastarojo dešimtmečio „botnetų“ – EMOTET. Po koordinuotos tarptautinės operacijos tyrėjai perėmė šio tinklo infrastruktūros valdymą, rašoma Europolo pranešime spaudai.
Asociatyvi „Pixabay“ nuotr.
Operaciją vykdė Nyderlandų, Vokietijos, JAV, JK, Prancūzijos, Lietuvos, Kanados ir Ukrainos valdžios institucijų atstovai. Tarptautinę operaciją koordinavo Europolas ir Eurojustas. Operacija buvo vykdoma Europos daugiadisciplinės platformos prieš nusikalstamas grėsmes (EMPACT) rėmuose.
EMOTET buvo viena iš profesionaliausių ir ilgiausiai veikusių kibernetinio nusikalstamumo paslaugų pasaulyje. Pirmą kartą ji užfiksuota 2014 metais, kaip el.bankininkystės trojano tipo virusas. Bet vėlesniais metais ji evoliucionavo į kibernetinių nusikaltėlių įvairialypės paskirties įrankį. EMOTET infrastruktūra iš esmės veikė kaip pasauliniu mastu veikiantis įrankis, atveriantis pirmąsias duris į svetimas kompiuterių sistemas. Gavus pirmą neteisėtą prieigą toji prieiga būdavo parduodama aukščiausio lygio pasaulinėms kibernetinio nusikalstamumo grupuotėms, kurios toliau savo nuožiūra vykdė nusikalstamą veiklą – vogdavo duomenis, reikalaudavo išpirkų už duomenų iššifravimą ir panašiai.
Plisdavo „Word“ dokumentų pavidalu
EMOTET valdanti grupuotė meistriškai naudojosi elektroniniais laiškais kaip pradiniu atakos vektoriumi. Taikant visiškai automatizuotą procesą EMOTET programinė įranga būdavo persiunčiama į aukų kompiuterius užkrėstų prie elektroninių laiškų prisegtų rinkmenų pavidalu. Norint suvilioti nieko neįtariančius vartotojus atidaryti tuos prisegtus dokumentus buvo naudojami kelių tipų jaukai. Anksčiau EMOTET laiškų gavėjus bandė įtikinti, kad prisegtame faile yra sąskaita už prekes ar paslaugas, informacija apie siunčiamas prekes arba informacija, susijusi su COVID-19.
Užkrėsti „Word“ dokumentai būdavo arba tiesiogiai prisegami prie laiško, arba laiškuose būdavo patalpinama nuoroda, vedanti į užkrėstą dokumentą. Jį atidarius vartotojo būdavo prašoma „įjungti leidimą vykdyti macro komandas“, kad piktybinis kodas, paslėptas dokumente, galėtų būti vykdomas ir į kompiuterį įdiegtų EMOTET programinę įrangą.
Atakos pagal užsakymą
EMOTET – ne šiaip piktybinės programinės įrangos paketas. Išskirtinio pavojingumo šiam blogais tikslais naudojamam įrankiui suteikė tai, kad jis kitiems kibernetiniams nusikaltėliams buvo siūlomas kaip priemonė į aukos kompiuterį įdiegti kitą piktybinę programinę įrangą – el.bankininkystės trojanus, informaciją šifruojančius ir išpirkos reikalaujančius virusus ar kitas blogybes.
Toks kibernetinio išpuolio tipas yra vadinamas „loader“ operacija, o EMOTET įrankis buvo vertinamas kaip vienas iš svarbiausių šioje kubernetinio nusikalstamo pasaulio dalyje.
Dėl gebėjimo plisti lateraliai – užkrėsti vieną ar kelis įmonės ar organizacijos kompiuterius ir vėliau pasklisti po visą įmonės infrastruktūrą – EMOTET tapo viena iš sunkiausiai pašalinamų piktybinių programų pasaulyje.
EMOTET infrastruktūros valdymo perėmimas
Infrastruktūrą, kurią naudojo EMOTET, sudarė keli šimtai serverių, išdėstytų visame pasaulyje. Visi jie vykdė skirtingas funkcijas, susijusias su užkrėstųjų aukų kompiuterių valdymu, plitimu į naujus kompiuterius, kitų nusikalstamų grupuočių aptarnavimu ar tiesiog didesniu atsparumu prieš teisėsaugos institucijas, bandančias prieš šį tinklą kovoti.
Siekiant smarkiai sutrikdyti EMOTET infrastruktūrą, teisėsaugos institucijų atstovai bendromis pajėgomis sukūrė efektyvią veikimo strategiją. Šios strategijos paskutinis veiksmas – šios savaitės operacija, kurios metu teisėsaugos institucijų ir jėgos struktūrų atstovai perėmė infrastruktūros valdymą ir išjungė EMOTET iš vidaus. Dabar piktybiniais EMOTET elementais užkrėsti kompiuteriai yra nukreipiami į teisėsaugos institucijų valdomą infrastruktūrą. Tai yra unikalus darbo metodas, kuris efektyviai nutraukia kibernetinio nusikalstamumo atstovų veiklą.
Kaip apsisaugoti nuo „loader“ tipo atakų
Daugybė vadinamųjų botnetų yra polimorfinės prigimties. Tai reiškia, kad piktybinė programinė įranga keičia savo kodą kiekvieno aktyvavimo metu. Kadangi dauguma antivirusinių programų skenuodamos kompiuterio atmintį joje ieško žinomų piktybinių programų fragmentų, toks kodo kaitaliojimas apsunkina EMOTET atradimą ir leidžia kenkėjui kurį laiką plisti netrukdomai.
Naujausių kibernetinio saugumo įrankių (antivirusinių programų, operacinių sistemų saugumo naujinių) naudojimas ir kibernetinio saugumo pagrindų suvokimas yra pagrindinis apsisaugojimo nuo tokių kenkėjų, kaip EMOTET, apsisaugojimo būdas. Naudotojai turėtų itin atidžiai vertinti savo elektroninius laiškus ir vengti atidarinėti žinutes bei ypač prie žinučių prisegtus failus iš nežinomų siuntėjų. Jeigu laiške pateikiama informacija atrodo pernelyg gerai, kad būtų tiesa, labai tikėtina, kad taip ir yra. Laiškus, kuriais siekiama sukurti skubios būtinybės jausmą, reikėtų vertinti itin atidžiai.
Nyderlandų nacionalinė policija, atlikusi savo veiksmus operacijoje prieš EMOTET, aptiko duomenų bazę, kurioje įtraukti elektroninio pašto adresai, vartotojų vardai ir slaptažodžiai, išvogti šių kibernetinių nusikaltėlių. Atvirai prieinamoje duomenų bazėje galite pasitikrinti, ar joje yra jūsų el.pašto adresai.
Vykdant pasaulinę žalos atitaisymo strategiją viso pasaulio kibernetinės saugos CERT grupėms buvo išsiuntinėta informacija apie paveiktas sistemas, tokiu būdu siekiant inicijuoti paveiktųjų sistemų išvalymą nuo kenkėjiškų programinės įrangos elementų.
