Prikaži glavni meni

Ugašena bot mreža Andromeda

Vesti, 06.12.2017, 08:30 AM

Zajedničkom akcijom agencija zaduženih za sprovođenje zakona iz celog sveta i privatnh kompanija ugašena je bot mreža Andromeda (Gamarue ili Vauchos).

Bot mreža je demontirana u sredu, 29. novembra. U koordinisanoj akciji koja je rezultirala gašenjem ove bot mreže učestvovali su američki FBI, Glavni inspektorat za kriminalne istrage u Lineburgu u Nemačkoj, Europolov Evropski centar za za sajber kriminal (EC3), Operativna grupa za zajedničku akciju protiv sajber kriminala (J-CAT) i Eurojust.

U ovoj operaciji su učestvovali i Fondacija Shadowserver, Microsoft, ESET, Registrar of Last Resort, ICANN, Fraunhofer institut za komunikaciju, obradu informacija i ergonomiju (FKIE) , i nemačka Savezna kancelarija za informatičku bezbednost (BSI).

Andromeda (Gamarue, Vauchos) je ime bot mreže, mreže računara zaraženih istim malverom.

Andromeda se pojavila 2011. i nastavila da raste, dostižući poslednjih godina ogromne brojeve u smislu broja porobljenih računara.

Tokom ovog vremena, Andromedin operater je koristio bot mrežu za slanje spam emailova koji su širili malver koji je inficirao nove računare, što je održavalo bot mrežu u životu, ali je bot mreža isporučivala i malver druge faze već zaraženim korisnicima. Ova taktika je omogućila vlasniku Andromede da zarađuje od iznajmljivanja bot mreže drugim sajber kriminalcima.

Prema podacima koje je prikupio Microsoft, u poslednjih šest meseci, Andromeda je isporučivala 80 različitih malvera. Tokom tog perioda, mesečno je u proseku oko milion računara bilo zaraženo malvareom Andromeda.

Datum gašenja Andromede nije bio slučajnost. To se dogodilo godinu dana pošto je ista grupa agencija i partnera iz privatnog sektora demontirala infrastrukturu za distribuciju malvera poznatu pod nazivom Avalanche. Avalanche je bila mreža servera koji su hostovali distributivnu infrastrukturu 21. porodice malvera. U prošlogodišnjim saopštenjima za štampu, koja su se odnosila na tu operaciju, nisu objavljeni nikakvi detalji o tome da je Andromeda bila hostovana na mreži Avalanche. Vlasti su namerno izbegle spominjanje Andromede kako bi je držali pod nadzorom i prikupili više informacija potrebnih za njeno gašenje. Godinama im to nije polazilo za rukom, zbog toga što je bilo nedovoljno podataka o njoj.

Podaci koji su prikupljeni tokom ovog perioda bili su dobro iskorišćeni. Za početak, Europol je saopštio da je policija uhapsila čoveka u Belorusiji za koga se sumnja da je tvorac Andromede. Policija nije objavila njegovo ime, ali je firma Recorded Future saopštila da je identifikovala hakera, koji se na internetu krio iza imena Ar3s.

Istražitelji kažu da su zaplenili sedam komandno-kontrolnih servera Andromede korišćenih za upravljanje botnetom. Ovo su bili najvažniji serveri, jer su upravljali sa preko 460 manjih Andromeda bot mreža. Ova rasipana struktura takođe je bila jedan od glavnih razloga zašto vlasti u prošlosti nisu mogle da se izbore sa Andromedom. Uvek su nedostajali neki od ovih servera, što je bilo više nego dovoljno za autora Andromede da počne ispočetka.