Il Dipartimento di Giustizia ha annunciato oggi un vasto sforzo per interrompere e smontare la botnet kelihos botnet, una rete globale di decine di migliaia di computer infetti sotto il controllo di un criminale informatico che è stato utilizzato per facilitare attività dannose, comprese la raccolta delle credenziali di accesso, la distribuzione di centinaia di milioni di e-mail spam, e l’installazione di ransomware e altri software dannosi.
Sostituto Procuratore generale Kenneth A. Blanco della Divisione criminale del Dipartimento di Giustizia, sostituto procuratore degli Stati Uniti Bryan Schroder per il distretto di Alaska, Assistente regista Scott Smith per la divisione Cyber dell’FBI e agente speciale dell’FBI in carica Marlin Ritzman di AnchorageDivision ha fatto l’annuncio.
” L’operazione annunciata oggi ha preso di mira uno schema internazionale in corso che distribuiva centinaia di milioni di e-mail fraudolente all’anno, intercettando le credenziali di conti online e finanziari appartenenti a migliaia di americani e diffondendo ransomware in tutte le nostre reti. La capacità di botnet come Kelihos di essere armati rapidamente per vasti e vari tipi di danni è una minaccia pericolosa e profonda per tutti gli americani, guidando al centro del modo in cui comunichiamo, facciamo rete, guadagniamo da vivere e viviamo la nostra vita quotidiana”, ha detto l’assistente procuratore generale Blanco. “Il nostro successo nell’interruzione della botnet Kelihos è stato il risultato di una forte cooperazione tra esperti del settore privato e forze dell’ordine e l’uso di tattiche legali e tecniche innovative. Il Dipartimento di Giustizia si impegna a combattere la criminalità informatica, indipendentemente dalle dimensioni o dalla sofisticazione dello schema, e a punire coloro che sono impegnati in tali crimini.”
“La criminalità informatica è un problema mondiale, ma che infetta le sue vittime direttamente attraverso i computer e i dispositivi elettronici personali che usiamo ogni giorno”, ha detto il procuratore facente funzioni degli Stati Uniti Bryan Schroder per il Distretto dell’Alaska. “Proteggere il popolo americano da una tale minaccia in tutto il mondo richiede una risposta di ampia portata, e lo smantellamento della botnet Kelihos è stata una tale operazione. Siamo fortunati che abbiamo agenti dell’FBI di talento e procuratori federali con le competenze per aiutare a proteggere gli americani da questo crimine informatico pervasivo.”
” L ‘8 aprile 2017, abbiamo iniziato lo straordinario compito di bloccare i domini dannosi associati alla botnet Khelios per vietare ulteriori infezioni”, ha dichiarato l’agente speciale dell’FBI responsabile Ritzman. “Questo caso dimostra l’impegno dell’FBI a trovare e sradicare le minacce informatiche, indipendentemente da dove si trovino nel mondo.”
Il malware Kelihos ha preso di mira i computer che eseguono il sistema operativo Microsoft Windows. I computer infetti sono diventati parte di una rete di computer compromessi nota come botnet e sono stati controllati da remoto attraverso un sistema di comando e controllo decentralizzato. Secondo la denuncia civile, Peter Yuryevich Levashov avrebbe gestito la botnet Kelihos da circa 2010. Il malware Kelihos raccolto le credenziali degli utenti attraverso la ricerca di computer infetti per nomi utente e password e intercettando il traffico di rete. Levashov avrebbe usato le informazioni ottenute da questa operazione di raccolta delle credenziali per promuovere la sua operazione di spamming illegale che ha pubblicizzato su vari forum criminali online. La botnet Kelihos ha generato e distribuito enormi volumi di e-mail di spam non richieste che pubblicizzavano farmaci contraffatti, promuovendo ingannevolmente azioni al fine di aumentare in modo fraudolento il loro prezzo (i cosiddetti schemi di frode azionaria “pump-and-dump”), truffe sul lavoro a casa e altre frodi. Kelihos è stato anche responsabile dell’installazione diretta di malware aggiuntivo sui computer delle vittime, inclusi ransomware e malware che intercettano le password del conto bancario degli utenti.
Come con altre botnet, Kelihos è progettato per funzionare automaticamente e inosservato sui computer delle vittime, con il codice dannoso segretamente l’invio di richieste di istruzioni per l’operatore botnet. Al fine di liberare i computer delle vittime dalla botnet, gli Stati Uniti hanno ottenuto ordini della corte civile e penale nel distretto dell’Alaska. Questi ordini autorizzavano misure per neutralizzare la botnet Kelihos (1) stabilendo server sostitutivi che ricevessero le richieste automatizzate di istruzioni in modo che i computer infetti non comunicassero più con l’operatore criminale e (2) bloccando qualsiasi comando inviato dall’operatore criminale che tentasse di riprendere il controllo dei computer infetti.
Nel cercare l’autorizzazione a interrompere e smantellare la botnet Kelihos, le forze dell’ordine hanno ottenuto un mandato ai sensi delle recenti modifiche alla regola 41 delle regole federali di procedura penale. Una copia di questo mandato insieme agli altri ordini del tribunale sono prodotti di seguito. Il mandato ottenuto dal governo autorizza le forze dell’ordine a reindirizzare i computer infetti da Kelihos a un server sostitutivo e a registrare gli indirizzi di protocollo Internet di tali computer mentre si connettono al server. Ciò consentirà al governo di fornire gli indirizzi IP delle vittime Kelihos a coloro che possono aiutare a rimuovere il malware Kelihos compresi i fornitori di servizi Internet.
Gli sforzi per distruggere e smantellare la botnet Kelihos sono stati guidati dall’ufficio di Anchorage dell’FBI e dall’ufficio di New Haven; dai Senior Counsel Ethan Arenson e Harold Chun, e dal Trial Attorney Frank Lin della sezione Computer Crime and Intellectual Property; e dagli assistenti legali statunitensi Yvonne Lamoureux e Adam Alexander del distretto dell’Alaska. L’assistenza critica è stata fornita anche da partner stranieri e un’assistenza tecnica inestimabile è stata fornita da Crowd Strike e dalla Shadow server Foundation nell’esecuzione di questa operazione.
I dettagli contenuti nella denuncia civile e le relative memorie sono solo accuse, e l’imputato è presunto innocente a meno che e fino a prova contraria.
Il governo ha e continuerà a condividere campioni del malware Kelihos con la comunità di sicurezza Internet in modo che i fornitori di antivirus possono aggiornare i loro programmi per rilevare e rimuovere Kelihos. Un certo numero di programmi antivirus gratuiti ea pagamento sono già in grado di rilevare e rimuovere Kelihos, incluso il Microsoft Safety Scanner, un prodotto gratuito.
