לקראת הבחירות: פיקוד הסייבר בארה"ב, ESET ומיקרוסופט נלחמים ברשת בוטים

זרוע הסייבר ההתקפית של הפנטגון, פיקוד הסייבר בצבא האמריקני, ביצעה פעולות שיבוש רחבות היקף נגד רשת הבוטים Trickbot. מדובר בבוטנט שמאז שנת 2016 הדביקה יותר ממיליון מחשבים ברחבי העולם. המניע לפעולות השיבוש הוא הרצון למנוע ממפעילי הרשת לתקוף מטרות אמריקניות, כך על פי גורם בממשל האמריקני.

פיקוד הסייבר ערך פעולות שיבוש בעצמו, לצד שיתוף פעולה עם חברות IT. שתי הפעולות נועדו למנוע מלגרום נזקים למערכות ממשל שונות, שלדברי גורמי ממשל עלולים להפעיל מתקפות כופרה נגד מערכות IT התומכות בתהליך ההצבעה לקראת יום הבחירות. התקפה כזו נגד מערכות רישום המצביעים, למשל, עלולה לגרום לבלבול, עיכובים או אי ודאויות אחרות לפני או במהלך ההצבעה.

לצד פעילות פיקוד הסייבר, מהלך השיבוש האזרחי נעשה בשיתוף פעולה של מיקרוסופט עם ESET. עוד היו שותפים למהלך השיבוש, המרכז לשיתוף וניתוח מידע לשירותים פיננסיים, NTT, מעבדות Black Lotus של לומן וסימנטק. על פי הממשל, כתוצאה מהפעולה של מיקרוסופט, האנשים שעומדים מאחורי TrickBot – אוסף של מחשבי "זומבים" שנפגעו על ידי תוקפים דוברי רוסית – יהיו מוגבלים ביכולתם להדביק קורבנות חדשים ולהפעיל מתקפות כופרה.

לדברי טום ברט, סגן נשיא לאבטחת לקוחות והבטחת אמון במיקרוסופט, "חוקרי הענקית מרדמונד עקבו אחר התשתית הטכנית בה השתמשו מפעילי TrickBot כדי לתקשר עם מחשבי הקורבן, אספו מידע על אופן ההתקשרות של המכונות ביניהן, ולמדו את כתובות ה-IP הספציפיות של שרתי פיקוד ובקרה המשמשים לשליטה ברשת הבוטים".

ESET השתתפה וסייעה למאמץ באמצעות ביצוע ניתוחים ודגימות, הפקת מידע סטטיסטי, שמות דומיינים וכתובות IP ידועות ומוכרות של שרתי פיקוד ובקרה.

בוטנט. צילום אילוסטרציה: BigStock

"אחד הבוטנטים הגדולים והארוכים שקיימים"

Trickbot ידועה בגניבת מידע ממחשבים שנפגעו, ובאחרונה נצפתה בעיקר כמנגנון הפצה להתקפות מזיקות יותר, כגון כופרה. חוקרי ענקית האבטחה הסלובקית עוקבים אחר רשת הבוטים כבר משנת 2016. השנה בלבד הם ניתחו יותר מ-125,000 דגימות זדוניות ואף הורידו ופענחו יותר מ-40,000 קבצי תצורה שהיו בשימוש מודולים שונים של רשת הבוטים. כל אלו תרמו משמעותית להבנה ולהיכרות עם שרתי השליטה והבקרה. ההאקרים המפעילים את רשת הבוטים פועלים במתכונת "נוזקה כשירות", ומוכרים ל"לקוחות" – האקרים אחרים – גישה למחשבים הנגועים.

ז'אן איאן בוטין, ראש גוף חקר האיומים, ESET, ציין כי "לאורך השנים בהן עקבנו אחרי רשת הבוטים, הדיווחים היו עקביים והפכו אותה לאחד הבוטנטים הגדולים והארוכים שקיימים. Trickbot היא אחת ממשפחות הנוזקות הבנקאיות הנפוצות ביותר, מהסוג שמהווה איום ממשי עבור משתמשי האינטרנט ברחבי העולם". לדבריו, "באחרונה ראינו כי אחת הדרכים הנפוצות ביותר להפצת הבוט היא באמצעות מערכות שכבר נפגעו מרשת בוטים גדולה אחרת – Emonet. בעבר, הבוט שימש בעיקר כסוס טרויאני בנקאי לגניבת פרטים אישיים מחשבונות בנק למטרת ביצוע העברות בנקאיות מזויפות".

אחד התוספים הוותיקים שפותחו עבור הפלטפורמה, מאפשר ל-Trickbot להשתמש בטכניקה המאפשרת לנוזקה לשנות באופן דינמי את מה שמשתמש במערכת שנמצאת בסכנה רואה בעת ביקור באתרים ספציפיים. "באמצעות המעקב שלנו אחר קמפיינים של Trickbot – אספנו עשרות אלפי קבצי תצורה שונים, מה שמאפשר לנו לדעת לאילו אתרים ממוקדים מפעילי Trickbot מכוונים. גילינו כי כתובות האתרים הממוקדות שייכות בעיקר למוסדות פיננסיים", אמר בוטין והוסיף כי "הניסיון לשבש את האיום החמקמק הזה מאתגר במיוחד, מכיוון שיש לו מנגנוני נפילה שונים וקשרים עם גורמים זדוניים אחרים בעולם פשעי הסייבר. כל זה הופך את הפעולה הכוללת למורכבת ביותר".

חשיפת פעילות השיבוש קרתה לאחר שבית המשפט במחוז המזרחי של וירג'יניה נעתר לבקשת מיקרוסופט ואישר אותה, לרבות השבתת כתובות ה-IP של הרשת. מיקרוסופט גם חסמה את המפעילים מהתוכן המאוחסן בשרתי הפיקד והשליטה, וחסמה את המאמצים לרכוש שרתים נוספים. הענקית מרדמונד הסתייעה בעבר בצווי בית משפט כדי לנקוט צעדים נגד תשתיות זדוניות מצד האקרים מצפון קוריאה, רוסיה ומעוד מקומות. פעילות השיבוש של פיקוד הסייבר מצבא ארה"ב נועדה לשבש זמנית את רשת הבוטים, מתוך הכרה בכך שהמפעילים העומדים מאחורי TrickBot יתכננו להתארגן מחדש ולנסות להחזיר לעצמם את היכולות שנפגעו.