SAMSUNG_062022 Advertisement SAMSUNG_062022 Advertisement SAMSUNG_062022 Advertisement

„Tichá noc“ nebezpečného botnetu Zloader zaznamenala veľkú porážku

Bezpečnosť
3

Ruská vojna na Ukrajine spolu s tou kybernetickou si nedala prestávku a ich koniec je pravdepodobne stále v nedohľadne. V najnovšom stĺpčeku si však aspoň my môžeme dovoliť na ňu chvíľu nemyslieť. Vo svete kybernetického zločinu, ale aj v boji proti nemu, a teda aj v našich výskumných laboratóriách sa diali aj iné vcelku zaujímavé veci.

Napríklad ESET spolupracoval s Microsoftom a ďalšími firmami v oblasti IT bezpečnosti pri operácii rozbitia známeho botnetu Zloader. ESET tejto snahe pomohol technickými analýzami, štatistickými informáciami a detailmi o názvoch domén riadiacich serverov pre malvér (aj IP adresami).

Zloader sa do obehu dostal pred pár rokmi ako bankový trójsky kôň, no neskôr slúžil viac ako kanál na distribúciu rôzneho malvéru, a to vrátane toho, ktorý obete vydiera, teda ransomvéru. Medzi rôzne funkcionality tohto botnetu patrí kradnutie najrôznejších dát z webových prehliadačov, z e-mailového softvéru Outlook či kradnutie kryptomien. Zloader takisto dokázal zaznamenávať stlačenia klávesov, kradnúť formuláre, robiť zábery obrazovky a v neposlednom rade sťahovať a spúšťať iný malvér (ako som už spomínal).

Operácia, na ktorej sa ESET podieľal, mala za cieľ tri konkrétne botnety, pričom každý z nich používal inú verziu Zloadera. V rámci nej sme identifikovali 65 domén používaných operátormi botnetov.

No Zloader mal v prípade ohrozenia týchto aktívnych internetových domén aj záložný plán. Vďaka algoritmu generovania domén dokázal vytvoriť ďalších 32 domén za deň pre každý zo spomínaných botnetov. Aby aj tento plán zlyhal, bolo v operácii prevzatých ďalších 319 domén, ktoré tento algoritmus vygeneroval. Takisto boli prijaté opatrenia, aby si v budúcnosti takto domény už registrovať nemohol.

Zloader začal svoju históriu ako nástupca známeho bankového trójskeho koňa Zeus (jeho zdrojový kód bol zverejnený ešte v roku 2011). Naši výskumníci zaznamenali prvú verziu Zloadera v roku 2019, v internetovom „podzemí“ ho inzerovali a predávali ako „tichú noc“. Odvtedy sme mali Zloader pod drobnohľadom. ZLoader si teda mohli kybernetickí kriminálnici kúpiť v ilegálnom obchode. Dostali k nemu všetko potrebné, aby si mohli založiť vlastné kriminálne servery a začať s budovaním botnetu.

Dovedna náš automatický systém zanalyzoval 14-tisíc unikátnych vzoriek tohto malvéru a objavili sme vyše 1300 riadiacich serverov.

Obzvlášť populárny bol medzi kybernetickými zločincami počas prvého roka existencie a v roku 2021 sa už zdalo, že svoje najlepšie časy má za sebou. Napriek tomu a aj napriek tejto operácii sa Zloader stále môže vrátiť – začali sa totiž objavovať testovacie verzie nového Zloadera. Vojna so Zloaderom teda ešte nie je vyhraná, ale môžeme aspoň skonštatovať, že tvorcovia a distribútori tejto kybernetickej hrozby zaznamenali veľkú porážku.

No máme správy aj z trochu iného súdka. Odborníci z ESETu sa v apríli zúčastnili aj na najväčšom medzinárodnom cvičení expertov na kybernetickú bezpečnosť Locked Shields 2022, ktoré simulovalo reálne digitálne hrozby. Cieľom tohto podujatia, ktoré od roku 2010 každoročne organizuje Centrum excelentnosti NATO pre kybernetickú obranu, je otestovať kybernetickú odolnosť členských štátov Severoatlantickej aliancie a posilniť tak kolektívnu obranu spojencov. Účastníci cvičenia mali jedinečnú príležitosť ukázať svoje schopnosti v ochrane národných IT systémov a kritickej infraštruktúry. Celkovo sa slovensko-českému tímu, ktorý tvorilo aj 29 špecialistov z ESETu, podarilo obsadiť 5. miesto, pričom v dvoch podkategóriách, forenzná analýza a nahlasovanie incidentov, dosiahol najlepšie hodnotenie spomedzi všetkých.

Počas cvičenia Locked Shields 2022 organizátori vystavili 5500 virtuálnych systémov viac ako 8000 útokom. Ešte dôležitejší aspekt ako veľkosť cvičenia bola jeho komplexnosť. Zúčastnené tímy nemali za úlohu iba ochrániť kritickú infraštruktúru fiktívnej krajiny, ale aj efektívne nahlasovať podrobnosti o situácii na digitálnom bojisku, vykonávať strategické rozhodnutia a vyrovnať sa s forenznými, právnymi a informačnými výzvami.

Digitálna bezpečnosť naberá na dôležitosti v kontexte ruskej invázie na Ukrajine a pandémie ochorenia COVID-19. Svet sa stáva čoraz závislejším od technológií, čo si uvedomujú aj kybernetickí zločinci, ktorí stupňujú útoky na verejný aj súkromný sektor.

Posledných pár rokov sa môže zdať, že svetlo na konci tunela rôznych trápení je stále niekde v nedohľadne (ako som spomenul aj v úvode tohto textu). Operácia proti botnetu Zloader, cvičenie Locked Shields a nakoniec takmer vždy aj obsah tohto pravidelného stĺpčeka dokazujú, že v kybernetickej vojne a aj s kybernetickými zločincami sa dá nielen bojovať, ale aj vyhrávať.

Branislav Ondrášik, ESET

Všetky autorove články

3 komentáre

Československo len piate? Slabota :-( Aj projekt kyborg jedna sa nám kazí. Kto ho asi tak dojebabril? reakcia na: „Tichá noc“ nebezpečného botnetu Zloader zaznamenala veľkú porážku

30.6.2022 13:06
Boli sme len piati? To je slabé umiestnenie. Kto boli prví? Japonci? Veď nám aj riadne kyber kriminálnici poničili vraj ten projekt kyborg jedna: Vraj chlapík má v hlave nano drony, ktoré skladajú tenzorovo polia neurónov a dokáže vidieť obrazy ako sny aj vo farbe. No a vraj kyber zločinci mu časť nano botov z mozgu s tentákulami, nožičkami presunuli do penisu a vraj môže bolieť a hopkajú s ním ako s opičkou. Vraj aj v mozgu vzadu na temene mu stiahli, zadreli do neurónov a vraj teraz nezaspí bez 200mg Quentiaxu. Otázka je: Kto ho vyzradil, keď to vedel iba on a nikdy to nikomu nepovedal, že počuje hlasy v mozgu? To mu videli nejako do hlavy papaláši? Už chápeme prečo sme len na piatom mieste: Nechránili sme dostatočne ľudský život. Máme sajborga a my ho ničíme? Anebo to byly Rusové, kerý ho napadly? Esete, je to prý polo stroj, už jste o tym slyšely?
Reagovať

RE: Ved tento pan zomrel, pochovali ho pred rokom. To bol vraj psychiatricky pacient. Trepal bludy. reakcia na: Československo len piate? Slabota :-( Aj projekt kyborg jedna sa nám kazí. Kto ho asi tak dojebabril?

30.6.2022 14:06
Ten pan vraj pred rokom zomrel. Odisla mu pecen z liekov. Bral psychofarmaka, vraj mu sibalo. Nech odpociva v pokoji.
Reagovať

RE: povráva sa vraj babička, čo šla po ulici povedala projektu kyborg jedna: toto všetko narobili vojaci... reakcia na: Československo len piate? Slabota :-( Aj projekt kyborg jedna sa nám kazí. Kto ho asi tak dojebabril?

30.6.2022 13:06
toto všetko narobili vojaci, ty si na to s rodinou doplatil...
Reagovať

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať