Microsoft ogłosił, że skutecznie zakłócił botnet Trickbota po tym, jak ten zaatakował część użytkowników pakietu Office 365. Firma złożyła wniosek o zlikwidowanie infrastruktury botnetu prowadzonej przez hakerów.
Według Microsoftu, jej zespół Defender Antivirus współpracował z głównymi partnerami związanymi z cyberbezpieczeństwiem w celu zebrania krytycznych informacji związanych ze schematem botnetu. W grupie wymiany danych dotyczących bezpieczeństwa cybernetycznego uczestniczą FS-ISAC, Lumen’s Black Lotus Labs, ESET, Symantec i NTT.
Microsoft zadaje cios hakerom
Zgodnie ze złożonymi dokumentami sądowymi, Microsoft starał się o zgodę na przejęcie domen i serwerów należących do przestępczej grupy z Rosji. Chciał również uzyskać zgodę prawną na zablokowanie adresów IP związanych z tą działalnością i uniemożliwienie podmiotom stojącym za nią zakupu lub dzierżawy serwerów. Żądania te były częścią większego planu działania mającego na celu zniszczenie danych przechowywanych w systemach hakerów. W pierwszej kolejności zamierzano zablokować dostęp do serwerów kontrolujących ponad 1 milion zainfekowanych maszyn. Posunięcie to stanowiłoby kluczowy krok w powstrzymaniu kontroli nad ponad 250 milionami dodatkowych naruszonych adresów e-mail.
Zobacz też: Xiaomi nawiązało do premiery iPhone’a 12. Nie obyło się bez uszczypliwości
Microsoft przyznał, że strategia Trickbota odniosła sukces głównie dlatego, że użyła zmodyfikowanej aplikacji Office 365. Nakłonienie użytkowników do jej zainstalowania pozwoliło sprawcom ominąć hasła. Dzięki tej technice mogli oni uzyskać dostęp do naruszonych kont użytkowników Microsoft 365 i związanych z nimi poufnych danych, takich jak zawartość wiadomości e-mail i listy kontaktów. Pomimo najlepszych starań Microsoftu i amerykańskich agencji rządowych na rzecz zlikwidowania Trickbota, eksperci ds. bezpieczeństwa z Intel471 ostrzegają, że ostatnie posunięcie ma tak naprawdę minimalny wpływ. Według nich sieć botnet jest w dużym stopniu zdecentralizowana i wykorzystuje sieci maskujące IP, takie jak Tor, do zasłaniania lokalizacji serwerów. To rozbudowane podejście minimalizuje szkody spowodowane przez tego typu działania.
Źródło: TechSpot