Французская полиция и компания Avast провели операцию, в рамках которой специалистам удалось обезвредить ботнет Retadup из более 850 тысяч компьютеров, зараженных вредоносным программным обеспечением. Особенность операции заключается в том, что для этого программисты скопировали код вредоносного сервера, заменили его на модифицированную копию и от его лица разослали на зараженные компьютеры команды для деактивации, рассказывают разработчики Avast в своем блоге.
Отметим, что ботнет — это сеть из компьютеров, зараженных вредоносным программным обеспечением. Одна из особенностей ботнетов заключается в том, что чаще всего они не вмешиваются в работу пользовательского программного обеспечения и работают в скрытом режиме. Как правило, их применяют для майнинга криптовалюты, DDoS-атак и других задач, в которых выгодно использовать большое количество компьютеров. Кроме того, ботнеты обычно работают не автономно, а под управлением сервера контроля и управления (C&C). С него зараженные компьютеры получают команды, а также зачастую присылают на него собранную информацию, криптовалюту или другие данные.
Исследователи в области информационной безопасности из компании Avast начали пристально изучать работу ботнета Retadup в марте 2019 года. Вредоносное ПО представляет собой компьютерный червь, распространившийся в основном в испаноязычных странах Латинской Америки, а также заразивший некоторые компьютеры в США, России и ряде стран Азии, в частности, Пакистане и Узбекистане. Ботнет привлек внимание исследователей Avast из-за криптомайнера, добывающего криптовалюту Monero на зараженных компьютерах. По словам главы отдела французской полиции по борьбе с киберпреступностью Жана-Доминика Нолле, с 2016 года авторы Retadup зарабатывали несколько миллионов евро ежегодно. Вместе с тем, помимо майнинга, ботнет также мог активировать другие вирусы, а именно — вирус-вымогатель Stop и программу-шпион Arkei.
Изучив вредоносное ПО, исследователи нашли уязвимость в протоколе общения ботов с сервером, позволяющую заставить червь «самоуничтожиться» на зараженных компьютерах, причем для этого не нужно рассылать на ПК пострадавших дополнительный код для удаления. Кроме того, специалисты Avast обнаружили, что основная часть инфраструктуры Retadup была расположена во Франции, и обратились к полиции этой страны, предложив ей захватить C&C-сервер и через него обезвредить зараженные компьютеры. Пока правоохранители получали разрешение от прокуратуры, исследователи протестировали предложенный ими сценарий локально, убедившись в его эффективности.
В конечном итоге прокуратура Франции согласились с такой схемой и запросила у хостера копию данных на сервере, а затем предоставила ее компании. На основе полученных данных специалисты разработали модифицированный вариант программного обеспечения, который затем незаметно установили взамен оригинального на тот же хостинг-сервис. В результате, при обращении ботов к серверу-«дезинфектору» за инструкциями, оный провоцировал самоуничтожение вредоносного ПО. По данным Avast, это позволило нейтрализовать червя на более чем 850 тысячах компьютерах пользователей. Примечательно, что анализ сервера показал, что он был заражен другим вредоносным программным обеспечением — Neshta. Как метко заметили в Avast, «создателям Retadup самим бы не помешал хороший антивирус».
Вдобавок к этому специалисты по кибербезопасности французской полиции обнаружили, что оставшаяся часть инфраструктуры Retadup расположена в США и уведомили об этом ФБР. Американские правоохранители, в свою очередь, «добили» ботнет.
Напоследок отметим, что по словам Жана-Доминика Нолле, захват ботнета не означает остановку деятельности хакеров — злоумышленники могут создать еще один ботнет, а потому полиция сейчас активно ищет их.
Источник: N+1
- По словам Avast, представленная в заметке статистическая информация была собрана на основе данных, автоматически присланных зараженными компьютерами на модифицированный сервер после введения его в строй.