Departament Sprawiedliwości ogłosił dziś szeroko zakrojone działania mające na celu zakłócenie i demontaż botnetu Kelihos – globalnej sieci dziesiątek tysięcy zainfekowanych komputerów pod kontrolą cyberprzestępcy, która została użyta do ułatwienia szkodliwych działań, w tym zbierania danych logowania, dystrybucji setek milionów spamowych wiadomości e-mail oraz instalowania oprogramowania ransomware i innego złośliwego oprogramowania.
Asystent Prokuratora Generalnego Kenneth A. Blanco z Wydziału Kryminalnego Departamentu Sprawiedliwości, P. O. Prokuratora Bryan Schroder z okręgu Alaska, Zastępca Dyrektora Scott Smith z Wydziału cybernetycznego FBI i Agent specjalny FBI dowodzący Marlin Ritzman z Anchorage.
” ogłoszona dzisiaj operacja miała na celu międzynarodowy system dystrybucji setek milionów fałszywych wiadomości e-mail rocznie, przechwytywania danych uwierzytelniających do kont internetowych i finansowych należących do tysięcy Amerykanów oraz rozprzestrzeniania oprogramowania ransomware w naszych sieciach. Zdolność botnetów, takich jak Kelihos, do szybkiego uzbrajania się w rozległe i zróżnicowane rodzaje szkód jest niebezpiecznym i głębokim zagrożeniem dla wszystkich Amerykanów, stanowiąc sedno tego, jak się komunikujemy, tworzymy sieć, zarabiamy na życie i żyjemy naszym codziennym życiem” – powiedział zastępca Prokuratora Generalnego Blanco. „Nasz sukces w zakłóceniu botnetu Kelihos był wynikiem silnej współpracy między prywatnymi ekspertami z branży i organami ścigania oraz zastosowania innowacyjnych taktyk prawnych i technicznych. Departament Sprawiedliwości jest zaangażowany w walkę z cyberprzestępczością, bez względu na wielkość i zaawansowanie systemu, i karać tych, którzy są zaangażowani w takie przestępstwa.”
” cyberprzestępczość jest problemem ogólnoświatowym, ale takim, który infekuje ofiary bezpośrednio za pomocą komputerów i osobistych urządzeń elektronicznych, których używamy na co dzień ” – powiedział aktor Bryan Schroder z Dystryktu Alaski. – Ochrona Amerykanów przed takim światowym Zagrożeniem wymaga szeroko zakrojonej reakcji, a demontaż botnetu Kelihos był taką operacją. Mamy szczęście, że mamy utalentowanych agentów FBI i prokuratorów federalnych z umiejętnościami, aby pomóc chronić Amerykanów przed wszechobecną cyberprzestępczością.”
„8 kwietnia 2017 r.rozpoczęliśmy niezwykłe zadanie blokowania złośliwych domen powiązanych z botnetem Khelios, aby zakazać dalszych infekcji” – powiedział agent specjalny FBI odpowiedzialny za Ritzman. „Ta sprawa pokazuje zaangażowanie FBI w znajdowanie i eliminowanie zagrożeń cybernetycznych bez względu na to, gdzie są na świecie.”
kelihos malware ukierunkowane komputery z systemem operacyjnym Microsoft Windows. Zainfekowane komputery stały się częścią sieci skompromitowanych komputerów znanych jako botnet i były kontrolowane zdalnie za pośrednictwem zdecentralizowanego systemu dowodzenia i kontroli. Zgodnie ze skargą cywilną Piotr Jurjewicz Lewaszow rzekomo obsługiwał botnet Kelihos od około 2010 roku. Złośliwe oprogramowanie Kelihos zebrało dane uwierzytelniające użytkowników, przeszukując zainfekowane komputery w poszukiwaniu nazw użytkowników i haseł oraz przechwytując ruch sieciowy. Lewaszow rzekomo wykorzystał informacje uzyskane z tej operacji zbierania poświadczeń do dalszej swojej nielegalnej operacji spamowania, którą reklamował na różnych internetowych forach przestępczych. Botnet Kelihos generował i rozprowadzał ogromne ilości niechcianych spamowych wiadomości e-mail reklamujących podrobione leki, zwodniczo promując akcje w celu oszukańczego zwiększenia ich ceny (tzw. „pump-and-dump” Stock fraud schemes), oszustw w pracy w domu i innych oszustw. Kelihos był również odpowiedzialny za bezpośrednie instalowanie dodatkowego złośliwego oprogramowania na komputerach ofiar, w tym oprogramowania ransomware i złośliwego oprogramowania, które przechwytuje hasła do kont bankowych użytkowników.
podobnie jak w przypadku innych botnetów, Kelihos jest zaprojektowany do działania automatycznie i niezauważalnie na komputerach ofiar, a złośliwy kod potajemnie wysyła prośby o instrukcje do operatora botnetu. W celu uwolnienia ofiar z botnetu, Stany Zjednoczone uzyskały nakazy sądowe cywilne i karne w dystrykcie Alaski. Rozkazy te upoważniały do neutralizacji botnetu Kelihos poprzez (1) Utworzenie serwerów zastępczych, które otrzymują automatyczne żądania instrukcji, aby zainfekowane komputery nie komunikowały się już z operatorem przestępczym oraz (2) blokowanie poleceń wysyłanych przez operatora przestępczego próbującego odzyskać kontrolę nad zainfekowanymi komputerami.
ubiegając się o zezwolenie na zakłócenie i demontaż botnetu Kelihos, organy ścigania uzyskały nakaz zgodnie z niedawnymi poprawkami do artykułu 41 federalnych Zasad Postępowania Karnego. Kopia tego nakazu wraz z innymi nakazami sądowymi są przedstawione poniżej. Nakaz uzyskany przez rząd upoważnia organy ścigania do przekierowywania komputerów zainfekowanych Kelihos na serwer zastępczy i rejestrowania adresów protokołu internetowego tych komputerów podczas łączenia się z serwerem. Umożliwi to rządowi dostarczenie adresów IP ofiar Kelihos osobom, które mogą pomóc w usunięciu złośliwego oprogramowania Kelihos, w tym dostawcom usług internetowych.
wysiłki mające na celu zakłócenie i demontaż botnetu Kelihos były prowadzone przez Biuro FBI w Anchorage i biuro w New Haven; starszy radca Ethan Arenson i Harold Chun oraz adwokat procesowy Frank Lin z sekcji przestępczości komputerowej i własności intelektualnej; oraz asystenci amerykańskich adwokatów Yvonne Lamoureux i Adam Alexander z okręgu Alaski. Pomoc krytyczną zapewnili również zagraniczni partnerzy, A nieocenioną pomoc techniczną zapewniły Crowd Strike i Shadow server Foundation w realizacji tej operacji.
szczegóły zawarte w skardze cywilnej i związanych z nią pismach procesowych są jedynie oskarżeniami, a oskarżonego uznaje się za niewinnego, chyba że udowodni się mu winę.
rząd ma i będzie nadal udostępniać próbki złośliwego oprogramowania Kelihos społeczności Internet security, aby producenci antywirusów mogli aktualizować swoje programy w celu wykrycia i usunięcia Kelihos. Wiele darmowych i płatnych programów antywirusowych jest już w stanie wykryć i usunąć Kelihos, w tym darmowy produkt Microsoft Safety Scanner.