Francouzská policie „unesla“ a neutralizovala rozsáhlý botnet, zaměřený na těžbu kryptoměn. Síť ovládala téměř milion počítačů infikovaných malwarem Retadup. O úspěšném zásahu informuje server TechCrunch.
Postižené stroje byly infikovány malwarem Retadup, který je hned po úspěšné infiltraci začal zneužívat k těžbě kryptoměn. Přestože byl škodlivý kód podle dostupných informací používán pouze ke generování peněz, provozovatelé sítě mohli na dálku spustit i jiný kód, jako je spyware nebo ransomware. K jeho vlastnostem patřila také schopnost šířit se na další počítače.
Téměř milionová síť
Malware se rozšířil takřka po celém světě – nejvíce se vyskytoval na počítačích ve Spojených státech, v Rusku a v několika zemích Střední a Jižní Ameriky. Podle příspěvku na blogu Avastu se úspěšně podařilo rozbít celou síť.
Jak se to povedlo? Bezpečnostní experti našli v kódu řídícího serveru chybu, která umožňovala odstranění malwaru z postižených počítačů. Škodlivý kód tedy bylo možné odstranit, aniž by bylo nutné na stroje instalovat jakékoli další aplikace.
Protože většina malwarové infrastruktury byla umístěna ve Francii, kontaktoval Avast francouzskou policii. Ta v červenci obdržela od státního zástupce povolení a pokračovala v operaci, jejímž cílem bylo převzetí kontroly nad serverem a dezinfekce postižených počítačů.
Úspěšný zásah
Operace probíhala tak, že odborníci ve spolupráci s provozovatelem hostingu nejprve pořídili „snapshot“ řídícího serveru. Museli postupovat velice opatrně, aby si jejich počínání nevšiml provozovatel botnetu a nestihl provést nějaká protiopatření. Experti se obávali zejména toho, aby například nenainstaloval na počítače ransomware, čímž by mohl kompenzovat případný výpadek příjmů z těžby kryptoměn.
Po získání „snapshotu“ bylo dalším krokem vytvoření vlastní repliky řídícího serveru, který měli pod svou kontrolou odborníci na bezpečnost. Následně nahradili škodlivý server svým vlastním a spustili rutinu, odstraňující malware ze zasažených strojů.
„V prvních vteřinách činnosti se k serveru připojilo několik tisíc botů, kteří chtěli načíst příkazy. Dezinfekční server na ně zareagoval a dezinfikoval je, čímž zneužil vadu v návrhu protokolu.“ Tímto způsobem se povedlo zastavit provoz malwaru a odstranit škodlivý kód na více než 850 000 infikovaných počítačích.
Šéf kybernetického oddělení francouzské policie Jean-Dominique Nollet uvedl, že provozovatelé malwaru vygenerovali kryptoměnu v hodnotě několika milionů eur. Vzdálené vypnutí škodlivého botnetu považuje za mimořádný úspěch.
