„Tichá noc“ nebezpečného botnetu Zloader zaznamenala veľkú porážku

Ruská vojna na Ukrajine spolu s tou kybernetickou si nedala prestávku a ich koniec je pravdepodobne stále v nedohľadne. V najnovšom stĺpčeku si však aspoň my môžeme dovoliť na ňu chvíľu nemyslieť. Vo svete kybernetického zločinu, ale aj v boji proti nemu, a teda aj v našich výskumných laboratóriách sa diali aj iné vcelku zaujímavé veci.

Napríklad ESET spolupracoval s Microsoftom a ďalšími firmami v oblasti IT bezpečnosti pri operácii rozbitia známeho botnetu Zloader. ESET tejto snahe pomohol technickými analýzami, štatistickými informáciami a detailmi o názvoch domén riadiacich serverov pre malvér (aj IP adresami).

Zloader sa do obehu dostal pred pár rokmi ako bankový trójsky kôň, no neskôr slúžil viac ako kanál na distribúciu rôzneho malvéru, a to vrátane toho, ktorý obete vydiera, teda ransomvéru. Medzi rôzne funkcionality tohto botnetu patrí kradnutie najrôznejších dát z webových prehliadačov, z e-mailového softvéru Outlook či kradnutie kryptomien. Zloader takisto dokázal zaznamenávať stlačenia klávesov, kradnúť formuláre, robiť zábery obrazovky a v neposlednom rade sťahovať a spúšťať iný malvér (ako som už spomínal).

Operácia, na ktorej sa ESET podieľal, mala za cieľ tri konkrétne botnety, pričom každý z nich používal inú verziu Zloadera. V rámci nej sme identifikovali 65 domén používaných operátormi botnetov.

No Zloader mal v prípade ohrozenia týchto aktívnych internetových domén aj záložný plán. Vďaka algoritmu generovania domén dokázal vytvoriť ďalších 32 domén za deň pre každý zo spomínaných botnetov. Aby aj tento plán zlyhal, bolo v operácii prevzatých ďalších 319 domén, ktoré tento algoritmus vygeneroval. Takisto boli prijaté opatrenia, aby si v budúcnosti takto domény už registrovať nemohol.

Zloader začal svoju históriu ako nástupca známeho bankového trójskeho koňa Zeus (jeho zdrojový kód bol zverejnený ešte v roku 2011). Naši výskumníci zaznamenali prvú verziu Zloadera v roku 2019, v internetovom „podzemí“ ho inzerovali a predávali ako „tichú noc“. Odvtedy sme mali Zloader pod drobnohľadom. ZLoader si teda mohli kybernetickí kriminálnici kúpiť v ilegálnom obchode. Dostali k nemu všetko potrebné, aby si mohli založiť vlastné kriminálne servery a začať s budovaním botnetu.

Dovedna náš automatický systém zanalyzoval 14-tisíc unikátnych vzoriek tohto malvéru a objavili sme vyše 1300 riadiacich serverov.

Obzvlášť populárny bol medzi kybernetickými zločincami počas prvého roka existencie a v roku 2021 sa už zdalo, že svoje najlepšie časy má za sebou. Napriek tomu a aj napriek tejto operácii sa Zloader stále môže vrátiť – začali sa totiž objavovať testovacie verzie nového Zloadera. Vojna so Zloaderom teda ešte nie je vyhraná, ale môžeme aspoň skonštatovať, že tvorcovia a distribútori tejto kybernetickej hrozby zaznamenali veľkú porážku.

No máme správy aj z trochu iného súdka. Odborníci z ESETu sa v apríli zúčastnili aj na najväčšom medzinárodnom cvičení expertov na kybernetickú bezpečnosť Locked Shields 2022, ktoré simulovalo reálne digitálne hrozby. Cieľom tohto podujatia, ktoré od roku 2010 každoročne organizuje Centrum excelentnosti NATO pre kybernetickú obranu, je otestovať kybernetickú odolnosť členských štátov Severoatlantickej aliancie a posilniť tak kolektívnu obranu spojencov. Účastníci cvičenia mali jedinečnú príležitosť ukázať svoje schopnosti v ochrane národných IT systémov a kritickej infraštruktúry. Celkovo sa slovensko-českému tímu, ktorý tvorilo aj 29 špecialistov z ESETu, podarilo obsadiť 5. miesto, pričom v dvoch podkategóriách, forenzná analýza a nahlasovanie incidentov, dosiahol najlepšie hodnotenie spomedzi všetkých.

Počas cvičenia Locked Shields 2022 organizátori vystavili 5500 virtuálnych systémov viac ako 8000 útokom. Ešte dôležitejší aspekt ako veľkosť cvičenia bola jeho komplexnosť. Zúčastnené tímy nemali za úlohu iba ochrániť kritickú infraštruktúru fiktívnej krajiny, ale aj efektívne nahlasovať podrobnosti o situácii na digitálnom bojisku, vykonávať strategické rozhodnutia a vyrovnať sa s forenznými, právnymi a informačnými výzvami.

Digitálna bezpečnosť naberá na dôležitosti v kontexte ruskej invázie na Ukrajine a pandémie ochorenia COVID-19. Svet sa stáva čoraz závislejším od technológií, čo si uvedomujú aj kybernetickí zločinci, ktorí stupňujú útoky na verejný aj súkromný sektor.

Posledných pár rokov sa môže zdať, že svetlo na konci tunela rôznych trápení je stále niekde v nedohľadne (ako som spomenul aj v úvode tohto textu). Operácia proti botnetu Zloader, cvičenie Locked Shields a nakoniec takmer vždy aj obsah tohto pravidelného stĺpčeka dokazujú, že v kybernetickej vojne a aj s kybernetickými zločincami sa dá nielen bojovať, ale aj vyhrávať.