Nyolc ország koordinált összefogásának köszönhetően néhány hete sikerült lekapcsolni talán az évtized legkártékonyabb botnetét, az Emotet-et.
Az Europol weboldalán megjelent hivatalos közlemény szerint nyolc ország (Hollandia, Németország, Amerikai Egyesült Államok, Nagy-Britannia, Franciaország, Litvánia, Kanada és Ukrajna) rendőrségének együttműködésére volt szükség annak érdekében, hogy az elmúlt évtized legtöbb problémát okozó botnet hálózatát, az Emotet-et üzemeltető bűnözőket megtalálják, és a szerverek felett átvegyék az ellenőrzést.
2,5 milliárd dolláros kárt okozott
Két évnyi nyomozás és együttműködés eredménye, hogy a világviszonylatban 2,5 milliárd dolláros kárt okozó hálózatot a hatóságoknak sikerült feltérképezniük. Az Operation Ladybird hadművelet keretében két ukrán állampolgárt tartóztattak le, akik a botnet infrastruktúráját menedzselték. A bűnözők maximum 12 éves börtönbüntetés elé néznek.
Az Emotet 2014-ben jelent meg először, akkor még csak banki trójaiként vetették be, illetve az azonosítók ellopására használták. Azonban a kártevőt folyamatosan tovább fejlesztették, igazi svájci bicska lett belőle: spambotként, információt ellopó kártevőként egyaránt használható volt, de a Tricbot és a Ryuk zsarolóvírus terjesztésére is használták. Az Emotet botnetet az is veszélyessé tette, hogy bárki kibérelhette, és saját céljaira felhasználhatta.
Sok variáns keringett
Az évek során a G DATA szakemberei is rengeteg Emotet variánst fedeztek fel. Például 2019-ben a kártevőcsalád csupán a hatodik helyezett volt a kártevők toplistájában, de egy év alatt 70 800 új változatát fedezték fel a szakemberek. 2019 végén Németországban rendkívül aktív volt, rengeteg közigazgatási intézmény, egyetem és kórház esett áldozatául.
Saját infrastruktúráján keresztül hatástalanítják
Az összehangolt akció keretében közel 700 Emotet szervert azonosítottak a hatóságok világszerte. A sors iróniája, hogy a hatóságok az Emotet-et használják saját maga megsemmisítésére. A holland rendőrség két szervert foglalt le, és egy onnan indított szoftver frissítés segítségével hatástalanítják a teljes botnetet. Minden Emotet-tel fertőzött számítógép ugyanis automatikusan megkapja azt a hatóságok által ellenőrzött frissítést, melynek segítségével megszabadulhatnak a kártevőtől.
Az Emotet 2021. április 25-ig törlődik teljesen az érintett infrastruktúrákból – a hatóságok időt szeretnének hagyni az IT csapatoknak, hogy felmérjék az okozott kárt, készítsenek saját elemzéseket a biztonsági eseményekről. Addig is az Emotet nem tud terjedni, mivel már a hatóságok ellenőrzése alatt van.
A rendőrök lefoglaltak egy 600 ezer email címet tartalmazó adatbázist, ebben gyűjtötték az Emotet áldozatok email címét. A holland rendőrség oldalán magunk is leellenőrizhetjük, ha email címünk benne van az adatbázisban vagy sem.
Mi az a Botnet?
A Nemzeti Kibervédelmi Intézet tudástára szerint: „A robothálózat (továbbiakban botnet) egy fertőzött informatikai eszközökből álló hálózat, amelyet a botnet gazdája többféle károkozásra is alkalmazhat. A fertőzött munkaállomások felhasználásának célja főképp kéretlen levelek kiküldése, szolgáltatás megtagadást okozó támadások (Denial-of-Service ─ DoS) indítása, vagy éppen szenzitív (például banki) adatok eltulajdonítása.
A támadónak elsőként hozzáférést kell szereznie az áldozat eszközéhez, ami sokféleképpen történhet. Egyik szokványos mód az ún. exploit kitek segítségével történő fertőzés, amelynek során a támadó egy weboldalon keresztül ─ valamilyen sérülékenység kihasználásával ─ automatikusan telepíti a káros kódot (bot) a site-ot meglátogatók gépére. Másik, szintén gyakori módszer a káros kódot tartalmazó kéretlen levelek útján történő fertőzés is. A célpontok klasszikusan asztali számítógépek, de egyre gyakrabban kerülnek a célkeresztbe IP kamerák, mobiltelefonok, vagy akár routerek is.
A botnetek irányítását általában a vezérlőszerverek (Command & Control szerver) végzik, azonban előfordulnak decentralizált P2P (peer-to-peer) hálózatban működő botnetek is, ahol nincs kitüntetett szerepben lévő node, így a hálózat bármely tagjának kiesése esetén is működőképes marad a botnet.”