Ботнет QakBot (он же QBot, Quakbot и Pinkslipbot), один из крупнейших и старейших ботнетов в мире, был ликвидирован в результате международной операции «Утиная охота» (Duck Hunt), которую возглавляло ФБР. Власти заявляют, что конфисковали 8,6 млн долларов в криптовалюте, а также захватили серверную инфраструктуру хакеров и создали специальный инструмент для удаления малвари с зараженных хостов.
В список партнеров ФБР в рамках этой операции вошли: Европол, правоохранительные органы Франции, Германии, Латвии, Румынии, Нидерландов, Великобритании и США. Также ФБР сотрудничало с Агентством по кибербезопасности и защите инфраструктуры США (CISA), специалистами компаний Shadowserver и Zscaler, подразделением Microsoft по борьбе с цифровыми преступлениями, Национальным альянсом по киберкриминалистике и так далее.
Минюст США называет эту операцию крупнейшим в истории США финансовым и техническим ударом по инфраструктуре ботнета, который использовался киберпреступниками для вымогательства, финансовых махинаций и прочей преступной деятельности.
QakBot, активный с 2008 года, изначально представлял собой банковский троян, но со временем превратился в мощный загрузчик вредоносного ПО, способный развертывать дополнительные полезные нагрузки, похищать конфиденциальную информацию и обеспечивать боковое перемещение.
Как правило, QakBot распространяется посредством фишинга, в том числе по электронной почте. Если говорить о письмах, обычно они содержат вредоносные документы в виде вложений или ссылки для загрузки вредоносных файлов, которые устанавливают малварь на устройство пользователя.
Проникнув на компьютер жертвы, QakBot будет внедрен в память легитимных процессов Windows, таких как wermgr.exe или AtBroker.exe, чтобы попытаться избежать обнаружения защитными продуктами.
После успешной атаки вредонос ищет информацию, которую можно украсть, включая электронные письма жертвы, для использования в будущих фишинговых кампаниях. В итоге же доступ к системе пострадавшего, скорее всего, будет передан другим злоумышленникам, включая операторов вымогательского ПО.
По подсчетам правоохранителей, QakBot был связан как минимум с 40 атаками программ-вымогателей на компании, медицинские учреждения и правительственные учреждения по всему миру, нанеся ущерб в сотни миллионов долларов. Сообщается, что только за последние 18 месяцев убытки от этих атак превысили 58 млн долларов США.
Много лет Qakbot служил первоначальным вектором заражения для различных вымогательских группировок и их операторов, включая таких известных злоумышленников, как Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex, Black Basta и так далее.
ФБР заявляет, что ликвидировало QakBot после того, как вредонос заразил более 700 000 компьютеров по всему миру (около 200 000 из них находились в США). Правоохранители сообщили, что им удалось внедриться в инфраструктуру ботнета, в том числе, на один из компьютеров, используемый администратором вредоноса. Это помогло властям составить карту серверной инфраструктуры малвари.
Так как властям удалось проникнуть в инфраструктуру злоумышленников, в конце прошлой недели правоохранители перенаправили трафик QakBot на подконтрольные им серверы, и ФБР смогло развернуть программу по удалению малвари на взломанных устройствах по всему миру, тем самым обезопасив скомпрометированные системы и предотвратив доставку дополнительной малвари на машины жертв.
Пострадавшие от QakBot пользователи не получали никаких уведомления о запуске программы для удаления малвари, однако ФБР утверждает, что проинформировало их о происходящем, используя IP-адреса и информацию о маршрутизации, собранную в системах жертв при развертывании своего инструмента.
Кроме того, на сайте агрегатора утечек Have I Been Pwned и специальном ресурсе, созданном полицией Нидерландов пользователи могут проверить, были ли их устройства заражены QakBot.
Также отмечается, что в рамках «Утиной охоты» были обнаружены 6,5 млн учетных данных, которые операторы QakBot украли у жертв в США. В настоящее время «международные партнеры ФБР» идентифицируют еще миллионы учтенных данных жертв из других стран.
Правоохранительные подчеркивают, что уже уведомляют жертв об украденных учетных данных и работают с людьми, чтобы помочь им вернуть средства, похищенные хакерами.
Проникнув в инфраструктуру малвари, ФБР установило, что ботнет использовал C&C-серверы уровней Tier-1, Tier-2 и Tier-3, которые применялись для передачи QakBot команд на выполнение, установки обновлений малвари, а также для загрузки дополнительных «партнерских» пейлоадов на зараженные устройства.
Согласно опубликованным документам, серверы Tier-1 представляли собой зараженные машины с установленным supernode-модулем. Они выполняли роль частей управляющей инфраструктуры ботнета, и многие из них находились в США. Серверы Tier-2 также являлись C&C-серверами, но обычно операторы QakBot использовали для этого арендованные серверы за пределами США.
Серверы уровня Tier-3 действовали как центральные системы управления и контроля, использовались для выдачи малвари новых команд, загрузки вредоносных модулей и установки «партнерских» угроз на машины жертв.
ФБР сообщает, что серверы Tier-1 и Tier-2 в основном применялись для ретрансляции зашифрованных коммуникаций с серверами Tier-3.
Каждые 1-4 минуты QakBot на зараженных устройствах связывался с серверами Tier-1, полагаясь для этого на встроенный список. Таким образом вредонос устанавливал зашифрованную связь с сервером Tier-3 и получал команды для выполнения и новые полезные нагрузки для установки.
Когда ФБР проникло в инфраструктуру QakBot и на одно из устройств администраторов ботнета, правоохранители получили доступ к ключам шифрования, которые использовались малварью для связи со своими C&C-серверами. Благодаря этим ключам, специалисты смогли использовать подконтрольное им зараженное устройство для установления связи со всеми серверами уровня Tier-1 и замены уже установленного supernode-модуля QakBot на модуль, созданный самими правоохранителями.
Новый модуль властей использовал ключи шифрования, неизвестные операторам QakBot, блокируя их доступ к собственной C&C-инфраструктуре, поскольку они лишались возможности связаться с серверами Tier-1.
После этого ФБР подготовило специальный DLL (модуль QakBot), который действовал как инструмент удаления малвари и распространялся на зараженные устройства с уже захваченных правоохранителями серверов Tier-1.
Исследователи SecureWorks, изучившие созданный ФБР модуль, рассказывают, что тот представляет собой кастомный DLL-файл, который дает вредоносу на зараженных устройствах команду QPCMD_BOT_SHUTDOWN, что приводит к прекращению работы вредоносного процесса на хосте. По словам экспертов, развертывание шелл-код и модуля для удаления малвари началось 25 августа 2023 года.
Малварь получает команду QPCMD_BOT_SHUTDOWN
ФБР подчеркивает, что инструмент для удаления QakBot был одобрен судьей к работе, но ордер имел строгие ограничения и допускал только удаление вредоносного ПО с зараженных устройств. Более того, поскольку малварь работала из памяти, инструмент для ее удаления ничего не записывал на жесткий диск и ничего с него не читал.
Пока правоохранители не уверены, сколько именно устройств удалось очистить таким способом. Так как процесс очистки начался в минувшие выходные, ожидается, что больше зараженных хостов будут очищены по мере их подключения к захваченной теперь инфраструктуре QakBot.
Нужно отметить, что это не первый случай, когда власти стремятся удалить малварь из зараженных систем, отключив пострадавшие машины от ботнета. Например, похожую операцию правоохранительные органы осуществили в 2020-2021 годах в рамках борьбы с малварью Emotet.
В список партнеров ФБР в рамках этой операции вошли: Европол, правоохранительные органы Франции, Германии, Латвии, Румынии, Нидерландов, Великобритании и США. Также ФБР сотрудничало с Агентством по кибербезопасности и защите инфраструктуры США (CISA), специалистами компаний Shadowserver и Zscaler, подразделением Microsoft по борьбе с цифровыми преступлениями, Национальным альянсом по киберкриминалистике и так далее.
Минюст США называет эту операцию крупнейшим в истории США финансовым и техническим ударом по инфраструктуре ботнета, который использовался киберпреступниками для вымогательства, финансовых махинаций и прочей преступной деятельности.
QakBot, активный с 2008 года, изначально представлял собой банковский троян, но со временем превратился в мощный загрузчик вредоносного ПО, способный развертывать дополнительные полезные нагрузки, похищать конфиденциальную информацию и обеспечивать боковое перемещение.
Как правило, QakBot распространяется посредством фишинга, в том числе по электронной почте. Если говорить о письмах, обычно они содержат вредоносные документы в виде вложений или ссылки для загрузки вредоносных файлов, которые устанавливают малварь на устройство пользователя.
Проникнув на компьютер жертвы, QakBot будет внедрен в память легитимных процессов Windows, таких как wermgr.exe или AtBroker.exe, чтобы попытаться избежать обнаружения защитными продуктами.
После успешной атаки вредонос ищет информацию, которую можно украсть, включая электронные письма жертвы, для использования в будущих фишинговых кампаниях. В итоге же доступ к системе пострадавшего, скорее всего, будет передан другим злоумышленникам, включая операторов вымогательского ПО.
По подсчетам правоохранителей, QakBot был связан как минимум с 40 атаками программ-вымогателей на компании, медицинские учреждения и правительственные учреждения по всему миру, нанеся ущерб в сотни миллионов долларов. Сообщается, что только за последние 18 месяцев убытки от этих атак превысили 58 млн долларов США.
Много лет Qakbot служил первоначальным вектором заражения для различных вымогательских группировок и их операторов, включая таких известных злоумышленников, как Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex, Black Basta и так далее.
ФБР заявляет, что ликвидировало QakBot после того, как вредонос заразил более 700 000 компьютеров по всему миру (около 200 000 из них находились в США). Правоохранители сообщили, что им удалось внедриться в инфраструктуру ботнета, в том числе, на один из компьютеров, используемый администратором вредоноса. Это помогло властям составить карту серверной инфраструктуры малвари.
Так как властям удалось проникнуть в инфраструктуру злоумышленников, в конце прошлой недели правоохранители перенаправили трафик QakBot на подконтрольные им серверы, и ФБР смогло развернуть программу по удалению малвари на взломанных устройствах по всему миру, тем самым обезопасив скомпрометированные системы и предотвратив доставку дополнительной малвари на машины жертв.
Пострадавшие от QakBot пользователи не получали никаких уведомления о запуске программы для удаления малвари, однако ФБР утверждает, что проинформировало их о происходящем, используя IP-адреса и информацию о маршрутизации, собранную в системах жертв при развертывании своего инструмента.
Кроме того, на сайте агрегатора утечек Have I Been Pwned и специальном ресурсе, созданном полицией Нидерландов пользователи могут проверить, были ли их устройства заражены QakBot.
Также отмечается, что в рамках «Утиной охоты» были обнаружены 6,5 млн учетных данных, которые операторы QakBot украли у жертв в США. В настоящее время «международные партнеры ФБР» идентифицируют еще миллионы учтенных данных жертв из других стран.
Правоохранительные подчеркивают, что уже уведомляют жертв об украденных учетных данных и работают с людьми, чтобы помочь им вернуть средства, похищенные хакерами.
Проникнув в инфраструктуру малвари, ФБР установило, что ботнет использовал C&C-серверы уровней Tier-1, Tier-2 и Tier-3, которые применялись для передачи QakBot команд на выполнение, установки обновлений малвари, а также для загрузки дополнительных «партнерских» пейлоадов на зараженные устройства.
Согласно опубликованным документам, серверы Tier-1 представляли собой зараженные машины с установленным supernode-модулем. Они выполняли роль частей управляющей инфраструктуры ботнета, и многие из них находились в США. Серверы Tier-2 также являлись C&C-серверами, но обычно операторы QakBot использовали для этого арендованные серверы за пределами США.
Серверы уровня Tier-3 действовали как центральные системы управления и контроля, использовались для выдачи малвари новых команд, загрузки вредоносных модулей и установки «партнерских» угроз на машины жертв.
ФБР сообщает, что серверы Tier-1 и Tier-2 в основном применялись для ретрансляции зашифрованных коммуникаций с серверами Tier-3.
Каждые 1-4 минуты QakBot на зараженных устройствах связывался с серверами Tier-1, полагаясь для этого на встроенный список. Таким образом вредонос устанавливал зашифрованную связь с сервером Tier-3 и получал команды для выполнения и новые полезные нагрузки для установки.
Когда ФБР проникло в инфраструктуру QakBot и на одно из устройств администраторов ботнета, правоохранители получили доступ к ключам шифрования, которые использовались малварью для связи со своими C&C-серверами. Благодаря этим ключам, специалисты смогли использовать подконтрольное им зараженное устройство для установления связи со всеми серверами уровня Tier-1 и замены уже установленного supernode-модуля QakBot на модуль, созданный самими правоохранителями.
Новый модуль властей использовал ключи шифрования, неизвестные операторам QakBot, блокируя их доступ к собственной C&C-инфраструктуре, поскольку они лишались возможности связаться с серверами Tier-1.
После этого ФБР подготовило специальный DLL (модуль QakBot), который действовал как инструмент удаления малвари и распространялся на зараженные устройства с уже захваченных правоохранителями серверов Tier-1.
Исследователи SecureWorks, изучившие созданный ФБР модуль, рассказывают, что тот представляет собой кастомный DLL-файл, который дает вредоносу на зараженных устройствах команду QPCMD_BOT_SHUTDOWN, что приводит к прекращению работы вредоносного процесса на хосте. По словам экспертов, развертывание шелл-код и модуля для удаления малвари началось 25 августа 2023 года.
Малварь получает команду QPCMD_BOT_SHUTDOWN
ФБР подчеркивает, что инструмент для удаления QakBot был одобрен судьей к работе, но ордер имел строгие ограничения и допускал только удаление вредоносного ПО с зараженных устройств. Более того, поскольку малварь работала из памяти, инструмент для ее удаления ничего не записывал на жесткий диск и ничего с него не читал.
Пока правоохранители не уверены, сколько именно устройств удалось очистить таким способом. Так как процесс очистки начался в минувшие выходные, ожидается, что больше зараженных хостов будут очищены по мере их подключения к захваченной теперь инфраструктуре QakBot.
Нужно отметить, что это не первый случай, когда власти стремятся удалить малварь из зараженных систем, отключив пострадавшие машины от ботнета. Например, похожую операцию правоохранительные органы осуществили в 2020-2021 годах в рамках борьбы с малварью Emotet.
Фото: Crowdstrike
