کمیته رکن چهارم – باتنت، TrickBot، یکی از فعالترین باتنتهای موجود بهتازگی ضربات شدیدی را از طرف عاملان صنعت امنیت سایبری با هدف مختل کردن فعالیتهایش متحمل شده است.
عملیات Trickbot با برخورد کردن با موانع مهم از اواخر ماه سپتامبر آغاز شد، هنگامی که کامپیوترهای گیر افتاده بهروزرسانیهایی را دریافت کردند که با تغییر آدرس سرور فرمان و کنترل به ۱۲۷,۰.۰.۱(localhost) از باتنت قطع شد.
طبق اطلاعات دریافت شده از Intel۴۷۱، فایلهای liberating configuration با منشاء ناشناخته مجدداً در ۱ اکتبر به سیستمهای آلوده به Trickbot رسید.
در اطلاعیهای، مایکروسافت و ESET اعلام کردند که همگام با امنیت سایبری و شرکتهای ارتباط از راه دور فعالیتهایی را برای ایجاد اخلال در Trickbot آغاز کردند.
ژان ایان بوتین، رئیس تحقیقات تهدید ESET، در بیانیهای برای BleepingComputer اظهار داشت که تلاشها از چندین ماه پیش آغاز و اقدامات ایجاد اختلال متعدد انجام شده است. فعالیتهای آنها برای اثرات طولانیمدت در نظر گرفته شده است، هدفی که نیاز به تجزیهوتحلیل دقیق دادههای جمعآوری شده و بهترین روش استفاده از آنها در برابر Trickbot دارد.
مایکروسافت در پستی اعلام کرد که یک شبکه جهانی به رهبری واحد جرایم دیجیتال (DCU) تشکیل داده است. این مشارکت شامل ESET ،Lumen’s Black Lotus Labs ، NTT Ltd ، تجارت سازمانی سیمانتیک Broadcom، مرکز اشتراک اطلاعات و تجزیهوتحلیل خدمات مالی (FS-ISAC) و تیم Microsoft Defender بود.
تلاش ESET و کارگروه مذکور علیه Trickbot اگرچه قابل توجه است، اما هیچ تضمینی برای موفقیت نیست. عوامل تهدید مکانیزم جایگزین دارد که به آنها امکان میدهد botnet را حفظ کنند و میتوانند رایانههای از دست رفته آلوده به Trickbot را بازیابی کنند. هرچند کار سادهای نیست. آنها باید سخت کار کنند تا دوباره کنترل کامل میزبان های به خطر افتاده Trickbot را برقرار کنند.
در حالی که اختلال botnet بر جریان طبیعی آلودگیهای TrickBot تأثیر میگذارد ، به نظر میرسد این گروه قادر به بهبودی و سازش سریع فعالیت منظم خود باشد.
آزمایشگاههای Black Lotus لومن با اشاره به اختلالات در سپتامبر و اوایل ماه اکتبر، همین مورد را در پست وبلاگ خود یادداشت کردند و گفتند که این اختلال نتوانست از آلودگی های جدید Trickbot جلوگیری کند، زیرا زیرساختهای botnet دست نخورده باقی مانده است.
برای دریافت ایدهای از پیچیدگی عملیات و چرایی دشوار بودن آن، سیستمهای اتوماتیک ESET بیش از ۱۲۵ هزار نمونه Trickbot را با بیش از ۴۰ هزار فایل پیکربندی برای حداقل ۲۸ پلاگین جداگانه مورد استفاده توسط بدافزار برای سرقت رمزهای عبور یا تبلیغ خود مورد بررسی قرار دادند. این مولفهها به احتمال زیاد توسط توسعهدهندگان مختلف نوشته شده و برخی از آنها برای بهروزرسانی به سرورهای خود متصل میشوند.
در فایل پیکربندی یک ماژول اصلی که تعیین میکند کدام افزونهها باید نصب شوند، لیستی از آدرسهای سرور hardcoded C2 وجود دارد. پس از اتصال به یکی از سرورهای کنترل و فرمان hard coded، لیست دوم سرورهای C2 را برای دانلود اجزای پیشفرض بازیابی میکند.
علاوهبر این، تهدیدکننده به سرورهای اختصاصی C2 برای کنترل افزونهها و نفوذ به اطلاعات سرقت رفته متکی است.
این تنظیم عامل تهدیدگر را قادر میسازد تا کنترل خود را در رایانههای هر کشوری حفظ کند و به آنها اجازه می دهد تا در صورت بروز اختلال به سرعت به کار خود ادامه دهند.
بر اساس دادههای دورسنجی ESET، یکی از شرکتهای درگیر در این عملیات در چهار سال گذشته، TrickBot بیش از یکمیلیون کامپیوتر را در تمام مناطق جهان آلوده کرده است.
Trickbot در ابتدا یک تروجان بانکی بود سپس به یک باتنت تبدیل شد که بدافزارهای مختلفی را توزیع میکرد. در آوریل ۲۰۱۹ شرکت امنیتی Cybereason گزارش داد که این بدافزار از botnet Emotet برای توزیع استفاده می کند و بعدها باج افزار Ryuk را تحویل می دهد.
چندماه بعد Deep Instinct اعلام کرد که آنها قادر به بازیابی پایگاه دادهای برای گسترش بدافزار از طریق ایمیل هستند که با ۲۵۰ میلیون حساب ایمیل از ماژول Trickbot استفاده شده است.
علاوهبر نقش خود در حذف باجافزار، Trickbot همچنین فعالیت شناسایی را در شبکه به خطر انداخته ، قبل از اینکه اجازه دهد Ryuk ضربه آخر را بزند و اطلاعات حساس را بدزدد. هر دو باند باجافزاری Ryuk و Conti برای دسترسی به شبکههای آسیب دیده با TrickBot همکاری کردهاند.
هنگامی که رایانهای به TrickBot آلوده میشود، تروجان درنهایت دسترسی از راه دور به یکی از باندهای باجافزار را فراهم میکند. سپس این مهاجمان از رایانه آلوده به عنوان سکوی پرتاب برای به خطر انداختن کل شبکه و استقرار باجافزار خود استفاده خواهند کرد.
با ایجاد اختلال در باتنت TrickBot، عملیات باجافزار نیز تحت تأثیر قرار خواهد گرفت زیرا آنها دیگر نمیتوانند از باتنت برای دسترسی به شبکههای شرکتی استفاده کنند.
متأسفانه همانطور که توسط حمله گسترده باجافزار Ryuk به خدمات جهانی بهداشت UHS) ) در ماه سپتامبر نشان داده شد، حملات بدون وقفه ادامه یافت. عاملان Emotet ، Trickbot و Ryuk مجرمان سایبری حرفهای هستند که عملیات گستردهای را دنبال میکنند و هدفشان پول کلان است.
منبع : مرکز مدیریت راهبردی افتا