Το FBI ανακοίνωσε τη διακοπή λειτουργίας του γνωστού Qakbot (Qbot) botnet η οποία επιτεύχθηκε χάρη σε μια διεθνή επιχείρηση των αρχών επιβολής του νόμου. Οι αρχές κατάφεραν να κατάσχουν την υποδομή του botnet αλλά και να απεγκαταστήσουν το malware από μολυσμένες συσκευές.
Κατά τη διάρκεια της επιχείρησης που ονομάστηκε Operation Duck Hunt και έλαβε χώρα το Σαββατοκύριακο, το FBI ανακατεύθυνε τα network communications του botnet σε διακομιστές υπό τον έλεγχό του, επιτρέποντας στους πράκτορες να εντοπίσουν περίπου 700.000 μολυσμένες συσκευές (200.000 βρίσκονται στις ΗΠΑ).
Αφού ανέλαβε τον έλεγχο του botnet, το FBI επινόησε μια μέθοδο για την απεγκατάσταση του κακόβουλου λογισμικού από τους υπολογιστές των θυμάτων.
Τι είναι το Qakbot botnet;
Προτού μπούμε σε λεπτομέρειες σχετικά με το πώς το FBI απεγκατέστησε το Qakbot botnet από μολυσμένους υπολογιστές, ας δούμε μερικά πράγματα για το ίδιο το botnet και τον τρόπο λειτουργίας του.
Το Qakbot, γνωστό και ως Qbot και Pinkslipbot, ξεκίνησε ως banking trojan το 2008. Χρησιμοποιούνταν για την κλοπή τραπεζικών credentials, website cookies και πιστωτικών καρτών.
Ωστόσο, με την πάροδο του χρόνου, εξελίχθηκε σε υπηρεσία παράδοσης κακόβουλου λογισμικού που χρησιμοποιήθηκε από διάφορους εγκληματίες του κυβερνοχώρου για την απόκτηση αρχικής πρόσβασης σε δίκτυα και για τη διεξαγωγή επιθέσεων ransomware, κλοπής δεδομένων και άλλων κακόβουλων δραστηριοτήτων.
Δείτε επίσης: P2PInfect malware: Επιθέσεις σε SSH και Redis για δημιουργία botnet
Το Qakbot διανέμεται, κυρίως, μέσω phishing emails που χρησιμοποιούν διάφορα δολώματα (ανάλογα με το στόχο) και περιέχουν κακόβουλα συνημμένα ή links για λήψη κακόβουλων αρχείων που εγκαθιστούν το κακόβουλο λογισμικό Qakbot στη συσκευή ενός χρήστη.
Τα συνημμένα μπορεί να είναι έγγραφα Word ή Excel με κακόβουλες μακροεντολές, αρχεία OneNote με ενσωματωμένα αρχεία και ISO attachments με εκτελέσιμα αρχεία και συντομεύσεις των Windows. Ορισμένα από αυτά έχουν, επίσης, σχεδιαστεί για να εκμεταλλεύονται zero-day ευπάθειες στα Windows.
Μόλις εγκατασταθεί το Qakbot botnet σε έναν υπολογιστή, θα εγκατασταθεί στη μνήμη νόμιμων διεργασιών των Windows, όπως το wermgr.exe ή το AtBroker.exe, για να προσπαθήσει να αποφύγει τον εντοπισμό από λογισμικό ασφαλείας.
Μόλις εκκινηθεί το κακόβουλο λογισμικό, θα πραγματοποιήσει σάρωση για τον εντοπισμό πληροφορίων που ενδιαφέρεται να κλέψει. Οι κλεμμένες πληροφορίες χρησιμοποιούνται για μελλοντικές καμπάνιες phishing.
Συνεργασία με ransomware ομάδες
Οι χειριστές του Qakbot malware έχουν συνεργαστεί και με άλλες hacking ομάδες, συμπεριλαμβανομένων ransomware συμμοριών.
Έχoυν, για παράδειγμα, συνεργαστεί με τις ransomware συμμορίες Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex, Black Basta και BlackCat/ALPHV.
Το FBI λέει ότι μεταξύ Οκτωβρίου 2021 και Απριλίου 2023, οι χειριστές του Qakbot κέρδισαν περίπου 58 εκατομμύρια δολάρια από πληρωμές ransomware.
Πώς το FBI κατέστρεψε το Qakbot botnet;
Το FBI δήλωσε ότι μπόρεσε να διαλύσει το botnet καταλαμβάνοντας το server infrastructure του εισβολέα και δημιουργώντας ένα ειδικό εργαλείο που απεγκατέστησε το Qakbot από μολυσμένες συσκευές.
Σύμφωνα με μια αίτηση για ένταλμα κατάσχεσης, που κυκλοφόρησε από το Υπουργείο Δικαιοσύνης, το FBI μπόρεσε να αποκτήσει πρόσβαση στα Qakbot admin computers, και έτσι οι αρχές επιβολής του νόμου μπόρεσαν να χαρτογραφήσουν την υποδομή που χρησιμοποιήθηκε στη λειτουργία του botnet.
Δείτε επίσης: QakBot, SocGholish και Raspberry Robin: Οι πιο δημοφιλείς malware loaders του 2023
Με βάση την έρευνά του, το FBI διαπίστωσε ότι το Qakbot botnet χρησιμοποίησε Tier-1, Tier-2, and Tier-3 command και control servers, οι οποίοι χρησιμοποιούνται για την έκδοση εντολών για εκτέλεση, την εγκατάσταση malware updates και τη λήψη πρόσθετων κακόβουλων payloads.
Οι Tier-1 servers είναι μολυσμένες συσκευές με ένα “supernode” module που λειτουργεί ως μέρος της υποδομής command and control του botnet, με ορισμένα από τα θύματα να βρίσκονται στις ΗΠΑ. Οι Tier-2 servers είναι επίσης command and control servers, αλλά οι χειριστές Qakbot τους χειρίζονται, συνήθως από ενοικιαζόμενους διακομιστές εκτός των ΗΠΑ.
Το FBI λέει ότι και οι διακομιστές Tier-1 και Tier-2 χρησιμοποιούνται για την αναμετάδοση κρυπτογραφημένης επικοινωνίας με τους διακομιστές Tier-3.
Αυτοί οι διακομιστές Tier-3 λειτουργούν ως κεντρικοί command and control servers για την έκδοση νέων εντολών για εκτέλεση, νέων κακόβουλων software modules (για λήψη) και κακόβουλου λογισμικού (για εγκατάσταση από τους συνεργάτες του botnet, όπως οι συμμορίες ransomware).
Κάθε 1 έως 4 λεπτά, το κακόβουλο λογισμικό Qakbot σε μολυσμένες συσκευές επικοινωνούσε με μια ενσωματωμένη λίστα διακομιστών Tier-1 για να δημιουργήσει κρυπτογραφημένη επικοινωνία με έναν διακομιστή Tier-3 και να λάβει εντολές για εκτέλεση ή νέα payloads για εγκατάσταση.
Ωστόσο, αφού το FBI διείσδυσε στην υποδομή του Qakbot και στις συσκευές του διαχειριστή, κατάφερε να αποκτήσει πρόσβαση στα κλειδιά κρυπτογράφησης που χρησιμοποιούνται για την επικοινωνία με αυτούς τους διακομιστές.
Χρησιμοποιώντας αυτά τα κλειδιά, το FBI χρησιμοποίησε μια μολυσμένη συσκευή υπό τον έλεγχό του για να επικοινωνήσει με κάθε διακομιστή Tier-1 και να τον βάλει να αντικαταστήσει την ήδη εγκατεστημένη μονάδα Qakbot “supernode” με μια που δημιουργήθηκε από τις αρχές επιβολής του νόμου.
Το νέο supernode module που έλεγχε το FBI, χρησιμοποίησε διαφορετικά κλειδιά κρυπτογράφησης, που δεν ήταν γνωστά στους χειριστές Qakbot. Έτσι, τους απέκλεισε ουσιαστικά από τη δική τους υποδομή command and control, καθώς δεν είχαν πλέον κανένα τρόπο επικοινωνίας με τους διακομιστές Tier-1.
Στη συνέχεια, το FBI δημιούργησε ένα custom Windows DLL (or Qakbot module) [VirusTotal] που λειτουργούσε ως εργαλείο αφαίρεσης του malware και προωθήθηκε σε μολυσμένες συσκευές από τους διακομιστές Tier-1.
Αυτό το custom Windows DLL εξέδωσε την εντολή QPCMD_BOT_SHUTDOWN στο κακόβουλο λογισμικό Qakbot που εκτελείται σε μολυσμένες συσκευές, προκαλώντας τη διακοπή της εκτέλεσης της διαδικασίας κακόβουλου λογισμικού.
Δείτε επίσης: MMRat: Μάθετε τα πάντα για το νέο Android banking malware
Το FBI λέει ότι αυτό το εργαλείο εγκρίθηκε από έναν δικαστή για την αφαίρεση του Qakbot botnet από μολυσμένες συσκευές.
Προς το παρόν, το FBI δεν είναι βέβαιο για τον συνολικό αριθμό των συσκευών που έχουν “καθαριστεί” με αυτόν τον τρόπο, αλλά καθώς η διαδικασία ξεκίνησε το Σαββατοκύριακο, αναμένει ότι και άλλες συσκευές θα απαλλαγούν από το malware.
Το FBI μοιράστηκε επίσης μια βάση δεδομένων που περιέχει κλεμμένα credentials, με το Have I Been Pwned και την Ολλανδική Εθνική Αστυνομία.
Καθώς δεν θα εμφανίζονται ειδοποιήσεις σε μολυσμένες συσκευές όταν αφαιρεθεί το κακόβουλο λογισμικό, οι χρήστες μπορούν να χρησιμοποιήσουν αυτές τις υπηρεσίες για να δουν εάν τα credentials τους έχουν κλαπεί. Με αυτό τον τρόπο, μπορούν να ανακαλύψουν αν είχαν μολυνθεί κάποια στιγμή από το Qakbot.
Αυτή η επιχείρηση των αρχών επιβολής του νόμου ήταν σίγουρα μια μεγάλη επιτυχία, ωστόσο μπορεί να μην είναι το τέλος της επιχείρησης Qakbot καθώς δεν έγιναν συλλήψεις. Επομένως, οι χειριστές του Qakbot μπορεί να προσπαθήσουν να ανακατασκευάσουν την υποδομή τους το επόμενο διάστημα.
Το Qakbot ήταν ένα από τα πιο γνωστά και επικίνδυνα botnet. Χάρη στην αποτελεσματική αρχιτεκτονική του και την υψηλή ικανότητα προσαρμογής του, ήταν δυνατόν να αντέξει για πολλά χρόνια και να εξελιχθεί σε ένα από τα πιο επικίνδυνα εργαλεία στα χέρια των κυβερνοεγκληματιών. Ωστόσο, οι αρχές κατάφεραν να “καθαρίσουν” χιλιάδες υπολογιστές που είχαν μολυνθεί.
Πηγή: www.bleepingcomputer.com
 botnet η οποία επιτεύχθηκε χάρη σε μια διεθνή επιχείρηση των αρχών){kind=link}