Demontierte das Botnetz "Andromeda"

(Di Alessandro Rugolo)
02/01/18

Vor ein paar Tagen wurde wie üblich mit Stillschweigen die Nachricht von der Zerschlagung des Botnetzes verkündet Andromeda im Anschluss an eine von EUROPOL geführte internationale Cyberoperation.
Das Botnetz war bereits seit mehreren Jahren in Betrieb …

Aber fangen wir am Anfang an: Was ist ein Botnetz?

Für diejenigen, die mit der Cyberwelt nicht vertraut sind, kann die Terminologie ein Problem sein und man läuft Gefahr, sich in Neologismen zu verlieren, ohne das Konzept zu verstehen. Deshalb werde ich versuchen, so klar wie möglich zu sein, indem ich die Verwendung technischer Details vermeide.

Ein Botnetz ist ein Netzwerk aus infizierten Computern (ich verwende den Begriff Computer häufig, einschließlich mobiler Geräte usw.). Der infizierende Erreger wird als „Bot“ bezeichnet, und im Fall von Andromeda ist ein „Trojaner“, während infizierte Computer „Zombies“ genannt werden. Ein Botnetz wird von einem „Bot-Master“ verwaltet, der seine Ressourcen für seine eigenen, meist böswilligen Zwecke nutzt.

Das Andromeda-Botnetz ist oder besser gesagt „war“ ein Netzwerk, das seit 2011 bekannt ist. Es ist auch unter den Namen „Gamarue“ und „Wauchos“ bekannt. Es funktioniert auf Geräten mit Windows 2000, Windows Server 2003, Windows XP (32-Bit, 64-Bit), Windows Vista (32-Bit, 64-Bit), Windows 7 (32-Bit, 64-Bit), Windows XNUMX (XNUMX-Bit, XNUMX-Bit), die alle zur Microsoft Windows-Betriebssystemfamilie gehören. Der Trojaner Andromeda Es ist in der Lage, verschiedene Vorgänge auszuführen: Es kann prüfen, ob es ausgeführt wird, es kann Dateien herunterladen und ausführen, es kann als Remote-Befehlssystem fungieren und sich bei Bedarf selbst vom infizierten Computer deinstallieren, um Spuren seiner Anwesenheit zu löschen. Es ist auch in der Lage, eine Verbindung zu einer bestimmten Anzahl bösartiger Websites herzustellen. Sobald es im System installiert ist, erstellt es Kopien von sich selbst, die es in verschiedenen Teilen des Betriebssystems verteilt, um sein Überleben zu sichern.

Laut Microsoft erstreckte sich das Botnet über 223 verschiedene Länder und konnte mehr als 2 Millionen infizierte Geräte nutzen (die Zahlen scheinen jedoch viel größer zu sein), über die es neben dem häufigeren Distributed Denial of Service (DdoS) verschiedene Arten von Operationen ausführen konnte.
Es ist nicht das erste Mal, dass eine Cyberoperation ein Botnetz zerschlagen hat, aber im Allgemeinen bleibt ein Teil des Botnetzes immer noch aktiv und kann möglicherweise von denjenigen genutzt werden, die in der Lage sind, es in Besitz zu nehmen. Das sollte man auch bedenken Andromeda und seine Varianten sind seit Jahren auf dem Markt und wurden zur Installation anderer Botnetze verwendet, wie zum Beispiel Neutrino, und deinstallieren Sie es dann, um Spuren des Links zu entfernen.

Die Zerschlagung des Andromeda-Botnetzes durch eine gemeinsame Operation von FBI, EUROPOL und der deutschen Polizei gilt als wichtiger Schritt, da dieses Netzwerk vermutlich zur Unterstützung eines anderen Botnetzes namens „ Lawine, wiederum geheiligt Ende 2016. Per Andromeda Ein 37-jähriger Weißrusse wurde festgenommen.

Durch den Einsatz von Online-Tools können wir die Verbreitung des Trojaners und seiner Varianten überprüfen und dies auch nach der Beseitigung erkennen Andromeda Es gibt weltweit immer noch aktive Varianten.

Wie aus der Karte hervorgeht, hat sich die Infektion hauptsächlich in Europa, Indien, Mittel- und Südamerika ausgebreitet.
Auch Italien scheint stark betroffen zu sein, und ich bin erstaunt über das Fehlen einer Aufklärungskampagne, die ein Mindestmaß an Informationen darüber enthalten sollte, wie man die Infektion erkennt und wie man sie beseitigt. Leider herrscht in Italien noch nicht die nötige Sensibilität für diese Art von Problemen, von denen man annimmt, dass sie nur den Technikern vorbehalten sind.
Nichts ist mehr falsch. Es sind nicht die Techniker, die über den Umgang mit der Cyberwelt entscheiden, sondern die Aufgabe der Entscheidungsträger, die natürlich verstehen müssen, wo das Problem liegt und wie sie sich auf ihrer Ebene verhalten sollen, vielleicht einfach dadurch, dass sie die Zahl der Sicherheitsexperten in ihrem Unternehmen erhöhen oder einen größeren Anteil der Ressourcen für den Cybersektor reservieren.

Aber was lässt sich aus militärischer Sicht sagen?

Im Allgemeinen handelt es sich bei einem Botnetz um eine komplexe Struktur, was bedeutet, dass der Aufbau und die Wartung Zeit in Anspruch nehmen. Darüber hinaus sind Aufmerksamkeit und Erfahrung erforderlich, um es geheim zu halten und auf seine Verwendung zu warten.
Eine große militärische Organisation auf Landesebene könnte ein Interesse daran haben, ein oder mehrere Botnetze für Cyberoperationen einzurichten. In der Vorbereitungsphase eines sorgfältig geplanten Angriffs vom Typ APT (Advanced Persistent Threat) ist ein Botnetz sicherlich nützlich.
Grundsätzlich kann ein Botnetz zur Vorbereitung eines komplexen Cyberangriffs wie einem DDoS oder zur Informationsbeschaffung eingesetzt werden. Aber das scheint nicht der Fall zu sein Andromeda. Daran ändert das nichts Andromeda Möglicherweise wurde es auch für militärische Operationen eingesetzt und es wurde ein gewisser Zusammenhang mit einer APT-ähnlichen Cyberoperation namens „Operation Transparent Tribe“ festgestellt, die 2016 gegen indisches Militär- und Diplomatenpersonal durchgeführt wurde.

Eines ist sicher: Sobald ein Botnetz zerstört ist, wird mit Sicherheit ein neues erstellt!

 

Um mehr zu erfahren:
https://www.certnazionale.it/news/2017/12/06/smantellata-la-botnet-andro...
https://www.europol.europa.eu/newsroom/news/andromeda-botnet-dismantled-...
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ANDROMEDA;
http://resources.infosecinstitute.com/andromeda-bot-analysis/;
https://www.itnews.com.au/news/police-security-vendors-take-down-androme...
http://www.virusradar.com/en/Win32_KillAV/map;
https://www.itworldcanada.com/article/canadian-threat-researchers-help-t...
https://www.welivesecurity.com/2017/12/04/eset-helps-law-enforcement-wor...
https://www.us-cert.gov/ncas/alerts/TA16-336A;
https://researchcenter.paloaltonetworks.com/2016/03/unit42-projectm-link...
https://www.proofpoint.com/us/threat-insight/post/Operation-Transparent-....