Microsoft заявила, что спонсируемая ею группа международных экспертов в области права и интернет-безопасности Digital Crimes Unit (DCU) обнаружила и помогла правоохранительным органам уничтожить ботнет из 400 000 скомпрометированных устройств, управляемых с помощью светодиодной консоли.
Ботнет использовался для самых разных целей: от фишинговых кампаний, распространения вредоносных программ, передачи данных вымогателям и до запуска распределенных атак типа DDoS.
«К удивлению команды, эти действия связаны с целым терабайтом (ТБ) вредоносного контента, отправляемого в неделю», — отметили в Microsoft. Изначально DCU изучила более 400 000 скомпрометированных IP-адресов и в итоге сократила список до 90 подозрительных IP. Последующий анализ показал, что один из них был связан с десятками действий по распространению вредоносных программ, фишинговых писем и DDoS-атак.
Тайваньская команда Microsoft DCU поделилась этой информацией с Бюро расследований при Министерстве юстиции Тайваня (MJIB).
Агенты MJIB смогли отследить IP-адрес, стоящий за этими атаками, и обнаружили, что несколько учетных записей, скрытых VPN-сетью, использующей IP, находились в офисном здании на севере Тайваня.
«Обычно киберпреступники используют скомпрометированные ПК для запуска кибератак», —пояснили в Microsoft. — «Но на этот раз источник был идентифицирован как консоль управления светодиодным освещением, казалось бы, незначительное устройство IoT».
MJIB отключило устройство, используемое злоумышленниками в качестве сервера управления ботнетом.
Ботнет обнаружили после того, как аналитик DCU из Тайваня заметил странный всплеск сигнала, который увеличился более чем в 100 раз за один месяц.
«Этот случай знаменует собой веху», — сказал Фу-Мей Ву, директор отдела информационной и коммуникационной безопасности MJIB. — «Мы смогли нейтрализовать устройство IoT и зафиксировать взлом на ограниченном диапазоне для скомпрометированных компьютеров в Тайване, что сильно отличается от предыдущих случаев глобального сотрудничества».
Всего с 2010 года команда Microsoft DCU выявила 22 ботнета с помощью интернет-провайдеров, реестров доменов, правительственных CERT и правоохранительных органов всего мира.
В прошлом месяце Microsoft и отраслевые партнеры скоординировали уничтожение Necurs, одного из крупнейших спам-ботнетов, известного тем, что он с 2012 года распространял вредоносные программы, используемые для заражения миллионов компьютеров. Одно зараженное Necurs устройство отправило примерно 3,8 миллиона спам-сообщений более чем 40,6 миллионам целей в течение 58 дней.
Ранее в этом месяце Microsoft сообщила, что помогла нейтрализовать вредоносное ПО Emotet, которое отключило компьютерную сеть одной из организаций после того, как сотрудник компании открыл письмо с фишинговой ссылкой. Сбой в работе сети произошел из-за роста максимальной нагрузки на ЦП под управлением Windows и отключения интернет-соединений.
Вредонос похищал учетные данные администраторов и аутентифицировался на новых системах.
Несмотря на усилия IT-команды, через восемь дней вся сеть вышла из строя из-за перегрева, зависаний и перезагрузок ПК. В Microsoft справились с распространением вредоноса, применив элементы управления ресурсами и буферные зоны, предназначенные для изоляции активов с правами администратора.
См. также: