Beberapa hari yang lalu, berita tentang pembongkaran botnet lewat diam seperti biasa Andromeda mengikuti operasi cyber internasional yang dipimpin oleh EUROPOL.
Botnet itu beroperasi selama beberapa tahun ...
Tapi mari kita mulai dari awal: apa itu botnet?
Bagi mereka yang tidak terbiasa dengan dunia cyber, terminologi itu bisa menjadi masalah dan Anda berisiko tersesat di antara neologisme tanpa memahami konsepnya, jadi saya akan berusaha sejelas mungkin menghindari penggunaan teknis.
Botnet adalah jaringan komputer yang terinfeksi (saya menggunakan istilah komputer secara ekstensif, termasuk perangkat mobile, dll.). Agen yang menginfeksi disebut "bot", dan dalam kasus Andromeda Ini adalah "trojan", sementara komputer yang terinfeksi disebut "zombie". Botnet diatur oleh "master bot" yang menggunakan sumber dayanya untuk tujuan umumnya yang jahat.
Botnet Andromeda adalah, atau mungkin lebih baik mengatakan "era", sebuah jaringan yang dikenal sejak 2011. Hal ini juga dikenal dengan nama "Gamarue" dan "Wauchos". Opera pada perangkat dengan 2000 sistem operasi Windows, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit) semua milik keluarga Microsoft Windows OS. Trojan Andromeda mampu melakukan beberapa operasi: dapat memeriksa apakah sedang berjalan, dapat mendownload dan menjalankan file, beroperasi sebagai sistem kontrol jarak jauh dan, jika perlu, dapat menghapus instalasi dari mesin yang terinfeksi untuk menghapus jejak keberadaannya, namun juga dapat terhubung ke sejumlah situs berbahaya Setelah terinstal di sistem membuat salinan dirinya sendiri yang menyebar di berbagai bagian Sistem Operasi untuk menjamin kelangsungan hidup.
Menurut Microsoft botnet diperpanjang lebih 223 negara yang berbeda dan bisa memanfaatkan lebih dari 2 juta perangkat yang terinfeksi (tetapi tampaknya bahwa angka-angka yang jauh lebih besar) melalui yang bisa melakukan berbagai operasi seperti Selain Denial paling umum Distributed Layanan (DDoS).
Ini bukan pertama kalinya operasi cyber membongkar botnet namun umumnya botnet masih aktif dan berpotensi digunakan oleh mereka yang mampu memilikinya. Hal ini juga perlu untuk mempertimbangkan fakta bahwa Andromeda dan variannya telah dijual bertahun-tahun dan telah digunakan untuk menginstal botnet lainnya, seperti misalnya Neutrino, dan kemudian dihapus untuk menghapus jejak tautan.
Pembongkaran botnet Andromeda, dengan operasi gabungan antara FBI, EUROPOL dan polisi Jerman, dianggap sebagai langkah penting karena diperkirakan bahwa jaringan ini telah digunakan untuk mendukung botnet lain yang dikenal sebagai Longsor, pada gilirannya, dikuduskan pada akhir 2016. untuk Andromeda tahun Belarusia 37 telah ditangkap.
Penggunaan alat online memungkinkan kita untuk memverifikasi penyebaran Trojan dan variannya dan adalah mungkin untuk melihat bahwa setelah pembongkaran Andromeda varian terus ada yang aktif diseluruh dunia.
Seperti yang dapat Anda lihat dari peta, infeksi telah menyebar terutama di Eropa, India, Amerika Tengah dan Selatan.
Italia juga sangat terpengaruh dan saya terkejut dengan tidak adanya kampanye kesadaran yang harus mencakup minimal informasi tentang bagaimana mendeteksi infeksi dan pemindahannya. Sayangnya, di Italia masih ada kepekaan yang tepat terhadap masalah seperti ini yang dianggap hak prerogatif para teknisi.
Tidak ada yang bisa lebih salah. Ada teknisi yang memutuskan pendekatan ke dunia cyber, ini adalah tugas dari pembuat keputusan yang harus tentu saja dapat memahami apa masalahnya dan bagaimana berperilaku di tingkat mereka, mungkin hanya dengan meningkatkan jumlah ahli keamanan di perusahaan mereka atau memesan bagian sumber daya yang lebih besar untuk sektor cyber.
Tapi apa yang bisa kita katakan dari sudut pandang militer?
Secara umum, botnet adalah struktur yang kompleks, yang berarti dibutuhkan waktu untuk meletakkannya di kaki dan mempertahankannya. Selanjutnya, perhatian dan pengalaman perlu dijaga agar tetap merahasiakannya, menunggu untuk digunakan.
Sebuah organisasi militer besar di tingkat negara mungkin memiliki kepentingan dalam menciptakan satu atau lebih botnet untuk digunakan dalam operasi cyber. Botnet tentu berguna dalam tahap persiapan serangan APT (Advanced Persistent Threat) yang direncanakan dengan cermat.
Pada prinsipnya, botnet dapat digunakan untuk persiapan serangan cyber yang kompleks seperti DDoS atau untuk mengumpulkan informasi. Tapi sepertinya ini bukan kasusnya Andromeda. Ini tidak berarti itu Andromeda itu juga bisa digunakan untuk operasi militer dan beberapa koneksi dengan operasi cyber APT yang disebut Operation Transparent Tribe melawan personil militer dan diplomatik India di 2016 telah dicatat.
Satu hal yang pasti, menghancurkan botnet, pasti yang baru akan tercipta!
Untuk mempelajari lebih lanjut:
- https://www.certnazionale.it/news/2017/12/06/smantellata-la-botnet-andro...
- https://www.europol.europa.eu/newsroom/news/andromeda-botnet-dismantled-...
- https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ANDROMEDA;
- http://resources.infosecinstitute.com/andromeda-bot-analysis/;
- https://www.itnews.com.au/news/police-security-vendors-take-down-androme...
- http://www.virusradar.com/en/Win32_KillAV/map;
- https://www.itworldcanada.com/article/canadian-threat-researchers-help-t...
- https://www.welivesecurity.com/2017/12/04/eset-helps-law-enforcement-wor...
- https://www.us-cert.gov/ncas/alerts/TA16-336A;
- https://researchcenter.paloaltonetworks.com/2016/03/unit42-projectm-link...
https://www.proofpoint.com/us/threat-insight/post/Operation-Transparent-....
