Xakep #305. Многошаговые SQL-инъекции
Недавно мы рассказывали о масштабной операции, направленной на ликвидацию одного из крупнейших ботнетов наших дней, TrickBot, в которой принимали участие правоохранительные органы, специалисты команды Microsoft Defender, некоммерческой организации FS-ISAC, а также ESET, Lumen, NTT и Symantec.
Еще тогда многие эксперты писали, что даже если поначалу Microsoft удалось отключить инфраструктуру TrickBot, скорее всего, ботнет все равно «выживет», и в конечном итоге его операторы введут в строй новые управляющие серверы, продолжив свою активностью.
Also I just looked and they pushed a new server list with 100% working servers.
— MalwareTech (@MalwareTechBlog) October 20, 2020
Теперь представители Microsoft опубликовали новое заявление, в целом подтвердив правоту экспертов и рассказ о второй волне действий, направленных на ликвидацию TrickBot. В компании сообщают, что благодаря усилиям специалистов за последнюю неделю малварь лишилась 94% своих управляющих серверов (120 из 128), в том числе новых, которые были введены в строй уже после начала операции.
Один из вице-президентов компании, Том Берт, рассказал, что за это время Microsoft отключила 62 из 69 исходных управляющих серверов TrickBot, а также 58 из 59 серверов, которые хакеры попытались ввести в работу после начала операции.
Семь серверов, которые не удалось ликвидировать специалистам, в основном относятся к интернету вещей (IoT). Эти устройства не удалось увести в оффлайн, так как они находятся не под контролем хостинговых компаний или центров обработки данных, а связаться с их владельцами не удалось. Специалисты пишут, что уже координируют действия с местными интернет-провайдерами и работают над этой проблемой.
В новом послании Берт выразил благодарность инженерам Microsoft, а также юристам компании, которые быстро обеспечили новые постановления суда, позволившие ликвидировать серверы ботнета в считанные дни. Напомню, что вся операция стала возможной именно благодаря тому, что представители Microsoft обратились в суд с требованием передать компании контроль над выявленными серверами TrickBot.
Тем не менее, в настоящее время ботнет все еще «жив», хотя значительно ослаблен. По данным компании Intel 471, остатки управляющих серверов TrickBot находятся в Бразилии, Колумбии, Индонезии и Кыргызстане. При этом Microsoft заявляет, что окончательно отключит инфраструктуру TrickBot до президентских выборов в США, которые состоятся 3 ноября 2020 года. Специалисты уверяют, что стараются помешать операторам TrickBot арендовать доступ к зараженным устройствам других хак-групп, как это уже бывало в прошлом.
Интересно, что эта масштабная попытка уничтожения, похоже, не слишком обеспокоила самих операторов TrickBot, которые в последнюю неделю занимались не только восстановлением инфраструктуры, но и пытались пополнить список своих жертв с помощью партнерского ботнета Emotet.