justitiedepartementet meddelade idag en omfattande insats för att störa och avveckla Kelihos botnet – ett globalt nätverk av tiotusentals infekterade datorer under kontroll av en cyberbrottsling som användes för att underlätta skadliga aktiviteter, inklusive skörd inloggningsuppgifter, distribuera hundratals miljoner spam e-post, och installera ransomware och annan skadlig programvara.
Tillförordnad Biträdande Justitieminister Kenneth A. Blanco av justitiedepartementets Criminal Division, tillförordnad amerikansk advokat Bryan Schroder för district of Alaska, biträdande direktör Scott Smith för FBI: s Cyber Division och FBI specialagent ansvarig Marlin Ritzman av AnchorageDivision gjorde tillkännagivandet.
” operationen som tillkännagavs idag riktade sig till ett pågående internationellt system som distribuerade hundratals miljoner bedrägliga e-postmeddelanden per år, avlyssnade referenser till online-och finanskonton som tillhör tusentals amerikaner och sprider ransomware i våra nätverk. Förmågan hos botnät som Kelihos att vara weaponized snabbt för stora och varierande typer av skador är en farlig och djupt hot mot alla amerikaner, körning i kärnan av hur vi kommunicerar, nätverk, försörja sig, och leva vår vardag,” sade tillförordnad biträdande justitieminister Blanco. ”Vår framgång med att störa Kelihos botnet var resultatet av ett starkt samarbete mellan privata branschexperter och brottsbekämpning och användningen av innovativa juridiska och tekniska taktiker. Justitiedepartementet har åtagit sig att bekämpa cyberbrott, oavsett storlek eller sofistikering av systemet, och att straffa dem som är engagerade i sådana brott.”
” cyberbrott är ett globalt problem, men ett som infekterar sina offer direkt via datorer och personliga elektroniska enheter som vi använder varje dag”, säger den amerikanska advokaten Bryan Schroder för distriktet Alaska. ”Att skydda det amerikanska folket från ett sådant globalt hot kräver ett brett svar, och nedmonteringen av Kelihos botnet var en sådan operation. Vi har tur att vi har begåvade FBI-agenter och federala åklagare med färdigheter för att skydda amerikaner från denna genomgripande cyberbrott.”
”den 8 April 2017 startade vi den extraordinära uppgiften att blockera skadliga domäner associerade med Khelios botnet för att förbjuda ytterligare infektioner”, säger FBI: s specialagent Ritzman. ”Detta fall visar FBI: s engagemang för att hitta och utrota cyberhot oavsett var de befinner sig i världen.”
Kelihos malware riktade datorer som kör Microsoft Windows operativsystem. Infekterade datorer blev en del av ett nätverk av komprometterade datorer som kallas ett botnet och kontrollerades på distans genom ett decentraliserat kommando-och kontrollsystem. Enligt det civila klagomålet drev Peter Yuryevich Levashov påstås Kelihos botnet sedan cirka 2010. Kelihos malware skördade användaruppgifter genom att söka infekterade datorer för användarnamn och lösenord och genom att fånga upp nätverkstrafik. Levashov använde allegedly informationen från denna referens skörd operation för att främja sin olagliga spam operation som han annonserade på olika online kriminella forum. Kelihos botnet genererade och distribuerade enorma volymer av oönskade skräppostmeddelanden som annonserade förfalskade droger, bedrägligt marknadsförde aktier för att bedrägligt öka sitt pris (så kallade ”pump-and-dump”-bedrägerisystem), hemma-bedrägerier och andra bedrägerier. Kelihos var också ansvarig för att direkt installera ytterligare skadlig kod på offrens datorer, inklusive ransomware och skadlig kod som avlyssnar användarnas lösenord för Bankkonto.
som med andra botnät är Kelihos utformad för att fungera automatiskt och oupptäckt på offrens datorer, med den skadliga koden som i hemlighet skickar förfrågningar om instruktioner till botnetoperatören. För att befria offrets datorer från botnet fick USA civila och straffrättsliga domstolsbeslut i distriktet Alaska. Dessa order bemyndigade åtgärder för att neutralisera Kelihos botnet genom att (1) upprätta ersättningsservrar som tar emot automatiska förfrågningar om instruktioner så att infekterade datorer inte längre kommunicerar med den kriminella operatören och (2) blockera kommandon som skickas från den kriminella operatören som försöker återfå kontrollen över de infekterade datorerna.
när man sökte tillstånd att störa och demontera Kelihos botnet, fick brottsbekämpning en order enligt de senaste ändringarna av regel 41 i federala straffrättsliga regler. En kopia av denna teckningsoption tillsammans med de andra domstolsbeslut produceras nedan. Den teckningsoption som erhållits av regeringen tillåter brottsbekämpning att omdirigera Kelihos-infekterade datorer till en ersättningsserver och att spela in internetprotokolladresserna för dessa datorer när de ansluter till servern. Detta gör det möjligt för regeringen att tillhandahålla IP-adresserna till Kelihos offer till dem som kan hjälpa till med att ta bort Kelihos malware inklusive Internetleverantörer.
ansträngningarna att störa och avveckla Kelihos botnet leddes av FBI: s Anchorage Office och New Haven Office; seniorråd Ethan Arenson och Harold Chun och Rättegångsadvokat Frank Lin från sektionen för databrott och immateriella rättigheter; och biträdande amerikanska advokater Yvonne Lamoureux och Adam Alexander från distriktet Alaska. Kritisk hjälp tillhandahölls också av utländska partners, och ovärderligt tekniskt bistånd tillhandahölls av Crowd Strike och Shadow server Foundation för att utföra denna operation.
detaljerna i det civila klagomålet och relaterade inlagor är bara anklagelser, och svaranden antas oskyldig såvida inte och tills den bevisats skyldig.
regeringen har och kommer att fortsätta att dela prover av Kelihos malware med Internet security community så att antivirusleverantörer kan uppdatera sina program för att upptäcka och ta bort Kelihos. Ett antal gratis och betalda antivirusprogram kan redan upptäcka och ta bort Kelihos, inklusive Microsoft Safety Scanner, en gratis produkt.