פירק את הרשת "אנדרומדה"

(של אלסנדרו רוגלו)
02/01/18

לפני כמה ימים החדשות, עברו בשתיקה כרגיל, על פירוק הרשת אנדרומדה בעקבות עסקת סייבר בינלאומית בהובלת EUROPOL.
הבוטנט היה פעיל כבר מספר שנים ...

אבל נתחיל מההתחלה: מהי בוטנט?

למי שלא מכיר את עולם הסייבר, המינוח יכול להוות בעיה ויש את הסיכון ללכת לאיבוד בין הניאולוגיות מבלי להבין את המושג, לכן אנסה להיות ברור ככל האפשר ולהימנע משימוש בטכניקות.

בוטנט היא רשת המורכבת ממחשבים נגועים (אני משתמש במונח מחשב בהרחבה, כולל מכשירים ניידים וכו '...). חומר ההדבקה נקרא "בוט", ובמקרה של אנדרומדה הוא "טרויאני", בעוד מחשבים נגועים נקראים "זומבים". בוטנט מנוהל על ידי "בוט מאסטר" המשתמש במשאבים שלו למטרות זדוניות בדרך כלל.

בוטנט האנדרומדה הוא, או אולי עדיף לומר "היה", רשת הידועה מאז ה- 2011. זה ידוע גם בשם "Gamarue" ו- "Wauchos". פועל במכשירים המצוידים במערכות ההפעלה Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit), כולם שייכים למשפחת מערכת ההפעלה Microsoft Windows. הטרויאני אנדרומדה הוא מסוגל לבצע פעולות שונות: הוא יכול לבדוק אם הוא פועל, הוא יכול להוריד ולבצע קבצים, הוא יכול לתפקד כמערכת שליטה מרחוק ובמידת הצורך ניתן להסיר אותה מהמחשב הנגוע כדי למחוק את עקבות נוכחותה, הוא גם מסוגל להתחבר למספר אתרים זדוניים. לאחר התקנתו במערכת היא מייצרת עותקים של עצמה שהיא מפיצה בחלקים שונים של מערכת ההפעלה כדי להבטיח את הישרדותה.

לפי מיקרוסופט, הבוטנט הרחיב את פני 223 מדינות שונות ויכול היה להשתמש ביותר מ- 2 מיליוני מכשירים נגועים (אך נראה כי המספרים גדולים בהרבה) דרכם הוא יכול לבצע פעולות מסוגים שונים בנוסף לשלילת השירות המפוזר יותר. (DDoS).
זו לא הפעם הראשונה שמבצע סייבר מפרק בוטנט, אך בדרך כלל חלק מהבוטנט נשאר פעיל ויכול לשמש את מי שיכולים להשתלט עליו. כמו כן יש לקחת בחשבון את העובדה ש אנדרומדה והגרסאות שלו מוצעות למכירה כבר שנים ומשמשות להתקנת בוטניות אחרות, כגון הניוטרינוואז הסר את ההתקנה כדי למנוע את עקבות הקישור.

פירוק בוטנט אנדרומדה, על ידי פעולה משותפת בין ה- FBI, EUROPOL והמשטרה הגרמנית, נחשב כצעד חשוב מאחר וסברה כי רשת זו שימשה לתמיכה בבוטנט אחר הידוע בכינויו מפולת שלגים, בתורו קידשו בסוף ה- 2016. כדי אנדרומדה בלארוסי בן 37 שנים נעצר.

השימוש בכלים מקוונים מאפשר לנו לאמת את התפשטות הטרויאני והווריאנטים שלו וניתן לראות כי לאחר פירוקו של אנדרומדה וריאנטים ממשיכים להתקיים ברחבי העולם.

כפי שניתן לראות מהמפה הזיהום התפשט בעיקר באירופה, הודו, מרכז ודרום אמריקה.
גם איטליה מושפעת מאוד ואני מופתע מהיעדר קמפיין מודעות שאמור לכלול מינימום של מידע כיצד לאתר את הזיהום והסרתו. לרוע המזל באיטליה אין עדיין את הרגישות הנכונה לבעיות מסוג זה שנחשבות כפררוגטיבה של טכנאים.
שום דבר לא יכול להיות יותר לא בסדר. לא הטכנאים הם אלה שקובעים את הגישה לעולם הסייבר, זו המשימה של מקבלי ההחלטות שבאופן טבעי עליהם להיות מסוגלים להבין מה הבעיה ואיך להתנהג ברמתם, אולי פשוט על ידי הגדלת מספר מומחי האבטחה בחברה שלהם. או שמירת פרוסת משאבים גדולה יותר לתחום הסייבר.

אך מה ניתן לומר מבחינה צבאית?

באופן כללי, בוטנט הוא מבנה מורכב, מה שאומר שלוקח זמן להקים אותו ולתחזק אותו. יתר על כן, טיפול וניסיון נחוצים לשמירתו בסוד, תוך המתנה לשימוש.
לארגון צבאי גדול ברמה הממלכתית עשוי להיות אינטרס ליצור בנט-נט אחד או יותר שישמשו למבצעי סייבר. בוטנט בהחלט מועיל בשלב ההכנה של התקף APT (איום מתמשך מתמשך בקפידה).
באופן עקרוני ניתן להשתמש בבוטנט להכנת מתקפת סייבר מורכבת כמו DDoS או לאיסוף מידע. אך לא נראה שזה המצב אנדרומדה. זה לא אומר את זה אנדרומדה זה יכול היה לשמש גם למבצעים צבאיים והיה קשר כלשהו עם פעולת סייבר מסוג APT שנקראה "מבצע שבט שקוף" שנערך נגד אנשי צבא ודיפלומטיה הודים ב- 2016.

דבר אחד בטוח, ברגע שתהרס בוטנט, בוודאי ייווצר חדש!

 

מידע נוסף:
https://www.certnazionale.it/news/2017/12/06/smantellata-la-botnet-andro...
https://www.europol.europa.eu/newsroom/news/andromeda-botnet-dismantled-...
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ANDROMEDA;
http://resources.infosecinstitute.com/andromeda-bot-analysis/;
https://www.itnews.com.au/news/police-security-vendors-take-down-androme...
http://www.virusradar.com/en/Win32_KillAV/map;
https://www.itworldcanada.com/article/canadian-threat-researchers-help-t...
https://www.welivesecurity.com/2017/12/04/eset-helps-law-enforcement-wor...
https://www.us-cert.gov/ncas/alerts/TA16-336A;
https://researchcenter.paloaltonetworks.com/2016/03/unit42-projectm-link...
https://www.proofpoint.com/us/threat-insight/post/Operation-Transparent-....

אירועים

לחץ על הימים המודגשים באדום וברר מה ראיות.
סיפורי חיים צבאיים
שלח לנו את הסיפור שלך
הוקרה (בשל) לחי"ר "רומא" ה-80 שיוצא לחופשה בכבוד

ובכן, כן, אנחנו כבר רגילים להיות עדים לסגירת הצריפים ואולי אפילו קצת לקבור את ההיסטוריה הארוכה של המחלקות, תופעה שעם זאת אינה מוחקת את הזיכרונות. זה גם נגע...

קרא את הסיפור
"Il Signor Parolini" (חלק תשיעי)

העוף האפוי, כצפוי, עמד במוניטין שלו, וגיבש, במידת הצורך, את השליטה הקולינרית הבלתי מעורערת של גסטון, המפקד ...

קרא את הסיפור