Napok alatt újjászületett a TrickBot hálózat

​Sajnos bekövetkezett az, amitől a biztonsági szakértők tartottak. A TrickBot hálózat megbénítására tett erőfeszítések csak néhány napra voltak elegendőek. A botnet ismét életre kelt.
 

A múlt héten a Biztonságportálon arról számoltunk be, hogy a Trickbot nevű trójai program és a köré kiépült botnet ellen egy összehangolt, Microsoft által koordinált akció kezdődött. Ez volt az eddigi egyik legjelentősebb ilyen jellegű botnetleállítási kísérlet, amelyben egyebek mellett részt vett az ESET, a Black Lotus Labs, az NTT, a Broadcom (Symantec), valamint internetszolgáltatók és CERT-tek is.
 
A múlt hét elején még bizakodásra okot adó hírek érkeztek arról, hogy a nemzetközi fellépés sikeresnek bizonyult, mivel a TrickBot által felépített botnet megbénult. Ugyanakkor a szakemberek óvatosságra intettek, hiszen jelezték, hogy többször fordult már elő, hogy egy-egy botnet a "leszámolást" követően ismét életre kelt. Az Intel 471 biztonsági kutatói szerint sajnos ez a Trickbot esetében is bekövetkezett.
 
Minden megy a régiben?
 
A vizsgálatok azt mutatják, hogy mindössze három napra volt szükségük a botnet üzemeltetőinek arra, hogy feltámasszák a kártékony hálózatukat. A kutatók ugyanis október 14-én már olyan elektronikus leveleket szűrtek ki, amelyek a megbénított, majd újraindított botnetből származtak. E küldemények továbbra is ártalmas Word dokumentumokat tartalmaztak, amik a Trickbot, illetve az Emotet trójai programok terjesztését végezték.
 
Az Intel 471 szerint minden jel arra utal, hogy mégsem sikerült teljesen elvágni a fertőzött számítógépek és a vezérlőszerverek közötti kommunikációt. Emiatt a kompromittált (zombi) számítógépekre olyan konfigurációs fájlok érkeztek, amik újabb vezérlőszerverek elérhetőségét tartalmazták. Egészen pontosan 15 új kiszolgáló IP-címét kapták meg a fertőzött rendszerek, amikkel a korábbiakhoz hasonlóan képesek adatot cserélni, utasításokat fogadni stb.
 
"A tény, hogy a Trickbot ismét normál üzemben működik azt mutatja, hogy a botnet mennyire ellenálló, és mennyivel több erőfeszítésre van szükség ahhoz, hogy végleg megszabaduljunk tőle" - nyilatkozták az Intel 471 szakértői. Majd hozzátették, hogy a TrickBot üzemeltetői komoly informatikai támogatással rendelkeznek, hasonlóan egy vállalati IT-részleghez. Az elmúlt évek botnetek elleni akcióiból tanultak, és nagyon ellenállóvá tették a hálózataikat. A tapasztalataikat pedig a fejlesztő csapataik beépítették az alvilági infrastruktúrákba. Ezért a kutatók szerint csak úgy lehet hosszú távon sikereket elérni az ilyen komplex botnetek ellen, ha a mögöttük álló személyeket sikerül kézre keríteni. Ez pedig szoros nemzetközi együttműködést igényel mind a hatóságok, mind a biztonsági és informatikai cégek részéről. Ez utóbbiaknak a már fertőzött számítógépek megtisztításában is fontos szerepet kellene vállalniuk. Mindez azonban nem megy a felhasználók nélkül, hiszen védelmi alkalmazások telepítése nélkül nehéz megvédeni, vírusmentesíteni a rendszereket.