ФБР прерывает операцию по борьбе с киберпреступностью, удаляя вредоносные программы с сотен тысяч компьютеров
За последние дни ФБР незаметно удалило вредоносные программы с более чем 700 000 компьютеров по всему миру, сообщило агентство во вторник, что является частью операции по уничтожению основного компонента экосистемы киберпреступности.
Целью операции было разрушить давно действующую бот-сеть — сеть компьютеров, связанных между собой одними и теми же вредоносными программами, под названием Qakbot. Qakbot — универсальный инструмент, который уже давно доступен в аренду киберпреступникам, которые используют его для получения первоначального доступа к компьютерам или файлам жертв.
Ботнеты часто в значительной степени полагаются на взлом и эксплуатацию компьютеров, принадлежащих людям или компаниям, которые обычно понятия не имеют, что их устройства подрабатывают сообщниками киберпреступников. ФБР редко и зачастую сложно с юридической точки зрения, хотя и не беспрецедентно, убеждает суд разрешить хакерам выгнать хакеров из компьютеров жертв без их ведома.
Согласно копии ордера, ФБР получило разрешение суда на проведение операции 21 августа. Агенты приступили к взлому центральной компьютерной инфраструктуры Qakbot четыре дня спустя, сообщило ФБР, и заставили его приказать компьютерам в своем ботнете прекратить прослушивание Qakbot.
Кит Джарвис, старший научный сотрудник компании Secureworks, занимающейся кибербезопасностью в Атланте, которая следила за ботнетом и его устранением, сказал, что большинство компьютеров, зараженных Qakbot, скорее всего, были эффективно устранены в первые несколько часов операции ФБР.
В обращении к СМИ после объявления представитель ФБР, пожелавший остаться неназванным, сообщил, что ФБР разработало специальный инструмент для удаления преступников для этой операции. По его словам, жертвы не будут уведомлены о том, что их устройства были починены или что они когда-либо были взломаны.
Тем не менее, ФБР предоставило имена и адреса электронной почты некоторых людей, которые были взломаны, на веб-сайте Have I Been Pwned, который позволяет любому проверить, фигурируют ли они в некоторых серьезных утечках данных. Во вторник компания Have I Been Pwned добавила в свою базу данных 6,4 миллиона учетных записей электронной почты, связанных с Qakbot.
В заявлении ФБР говорится, что правоохранительные органы Франции, Германии, Нидерландов, Великобритании, Румынии и Латвии участвовали в уничтожении Qakbot. Представитель ФБР отказался сообщить, был ли кто-либо арестован или участвовали ли какие-либо правительства в операциях киберпреступников.
Брэдли Дункан, исследователь из Palo Alto Networks, заявил, что, хотя некоторые крупнейшие банды киберпреступников используют Qakbot для заражения компаний, школ и больниц разрушительными программами-вымогателями, действия ФБР вряд ли приведут к значительному сокращению кибератак. По его словам, у хакеров есть множество других способов взлома.
«Хотя любые сбои — это хорошо, сбои в работе Qakbot, возможно, не окажут существенного влияния на операции с программами-вымогателями», — сказал Дункан.
Кевин Коллиер — репортер, освещающий политику в области кибербезопасности, конфиденциальности и технологий для NBC News.