Демонтирован ботнет "Андромеда".

(Ди Алессандро Руголо)
02/01/18

Несколько дней назад, как обычно, молчавшая новость о демонтаже ботнета. Андромеда после международной кибер транзакции во главе с EUROPOL.
Ботнет работал несколько лет ...

Но начнем с самого начала: что такое ботнет?

Для тех, кто не знаком с кибер-миром, терминология может быть проблемой, и существует риск потеряться среди неологизмов без понимания концепции, поэтому я постараюсь быть максимально ясным, избегая использования технических деталей.

Ботнет - это сеть, состоящая из зараженных компьютеров (я широко использую термин компьютер, включая мобильные устройства и т. Д.). Заражающий агент называется «бот», а в случае Андромеда является «трояном», а зараженные компьютеры называются «зомби». Ботнет управляется «главным ботом», который использует свои ресурсы в своих злонамеренных целях.

Ботнет Андромеды является, или, может быть, лучше сказать «был», сетью, известной со времен 2011. Это также известно как "Gamarue" и "Wauchos". Работает на устройствах, оборудованных операционными системами Windows 2000, Windows Server 2003, Windows XP (32-бит, 64-бит), Windows Vista (32-бит, 64-бит), Windows 7 (32-бит, 64-бит), все принадлежащие к семейству ОС Microsoft Windows. Троян Андромеда способен выполнять различные операции: он может проверить, работает ли он, может ли он загружать и выполнять файлы, он может функционировать как система удаленного управления и, при необходимости, его можно удалить с зараженной машины, чтобы удалить следы его присутствия, он также может подключиться на ряд вредоносных сайтов. После установки в систему он создает свои копии, которые он распространяет в различных частях операционной системы, чтобы гарантировать ее выживание.

По словам Microsoft, ботнет распространяется на 223 в разных странах и может использовать более 2 миллионов зараженных устройств (но, похоже, их число намного больше), с помощью которых он может выполнять различные типы операций в дополнение к более распространенному распределенному отказу в обслуживании (DDoS).
Это не первый случай, когда кибер-операция разрушает ботнет, но, как правило, часть ботнета все еще активна и потенциально может использоваться теми, кто может ею завладеть. Также необходимо учитывать тот факт, что Андромеда и его варианты были в продаже в течение многих лет и были использованы для установки других ботнетов, таких как Нейтрино, а затем удалите, чтобы устранить след ссылки.

Демонтаж ботнета Андромеды в результате совместной операции ФБР, Европола и немецкой полиции считается важным шагом, поскольку считается, что эта сеть использовалась для поддержки другого ботнета, известного как лавина, в свою очередь освященный в конце 2016. в Андромеда Белорус 37 лет был арестован.

Использование онлайн-инструментов позволяет нам проверить распространение троянца и его вариантов, и это можно увидеть после демонтажа Андромеда варианты продолжают существовать во всем мире.

Как видно из карты, инфекция распространилась в основном в Европе, Индии, Центральной и Южной Америке.
Италия также очень пострадала, и я удивлен отсутствием информационной кампании, которая должна включать минимум информации о том, как обнаружить инфекцию и ее устранение. К сожалению, в Италии до сих пор нет правильной чувствительности к такого рода проблемам, которые считаются прерогативой технических специалистов.
Ничто не может быть более неправильным. Это не технические специалисты, которые решают подход к кибер-миру, это задача лиц, принимающих решения, которые, естественно, должны быть в состоянии понять, в чем проблема и как вести себя на их уровне, возможно, просто увеличив число экспертов по безопасности в своей компании. или резервирование большей части ресурсов для кибер-сектора.

Но что можно сказать с военной точки зрения?

В целом, ботнет представляет собой сложную структуру, а это значит, что для его настройки и обслуживания требуется время. Кроме того, необходима осторожность и опыт, чтобы держать его в секрете, ожидая его использования.
Крупная военная организация на государственном уровне может быть заинтересована в создании одного или нескольких ботнетов для использования в кибер-операциях. Ботнет, безусловно, полезен на этапе подготовки точно спланированной атаки APT (Advanced Persistent Threat).
В принципе, ботнет может использоваться для подготовки сложной кибератаки, такой как DDoS, или для сбора информации. Но, похоже, это не так Андромеда, Это не значит что Андромеда он мог также использоваться для военных операций, и была отмечена некоторая связь с кибероперацией типа APT под названием «Операция Прозрачное племя», проводимой против индийского военного и дипломатического персонала в 2016.

Одно можно сказать наверняка: как только ботнет будет уничтожен, обязательно будет создан новый!

 

Для получения дополнительной информации:
https://www.certnazionale.it/news/2017/12/06/smantellata-la-botnet-andro...
https://www.europol.europa.eu/newsroom/news/andromeda-botnet-dismantled-...
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ANDROMEDA;
http://resources.infosecinstitute.com/andromeda-bot-analysis/;
https://www.itnews.com.au/news/police-security-vendors-take-down-androme...
http://www.virusradar.com/en/Win32_KillAV/map;
https://www.itworldcanada.com/article/canadian-threat-researchers-help-t...
https://www.welivesecurity.com/2017/12/04/eset-helps-law-enforcement-wor...
https://www.us-cert.gov/ncas/alerts/TA16-336A;
https://researchcenter.paloaltonetworks.com/2016/03/unit42-projectm-link...
https://www.proofpoint.com/us/threat-insight/post/Operation-Transparent-....

оборона рейнметалла