TechSpot bo kmalu praznoval svojo 25. obletnico. TechSpot pomeni tehnično analizo in nasvet, ki mu lahko zaupate.
Kaj se je pravkar zgodilo? Ameriško državno tožilstvo v osrednjem okrožju Kalifornije je nedavno objavilo zaseg spletne domene WorldWiredLabs in podporne infrastrukture. Operacija, ki je bila usklajena v več državah in organih pregona, je ustavila distribucijo trojanca za oddaljeni dostop NetWire (RAT). Zlonamerna programska oprema je bila prikrita in tržena kot legitimno skrbniško orodje, ki so ga zlonamerni akterji uporabljali za pridobitev nepooblaščenega dostopa do ciljnih sistemov.
Uspešno prizadevanje, da bi podgano ugnali, je sledilo večletni preiskavi, opazovanju in načrtovanju organov kazenskega pregona po vsem svetu. Zvezne oblasti v Los Angelesu so izdale nalog za zaseg spletne domene worldwiredlabs.com, ki je bila uporabljena za prodajo in distribucijo zlonamerne programske opreme NetWire. Poleg zasega so oblasti aretirale hrvaškega državljana, ki je bil identificiran kot skrbnik strani. Zdaj zasežena spletna stran kaže na usklajeno prizadevanje ameriških, hrvaških, švicarskih, avstralskih in drugih organov, povezanih z Europolom.
Ujet! Usklajen #lawenforcement ukrep ðÂÂð·ð¨ðÂÂð¦ðºrºr¸ je uničil infrastrukturo trojanskega konja za oddaljeni dostop #Netwire.
�” Glavni osumljenec aretiran. #Netwire je licenčna blagovna znamka RAT, ki se na podzemnih forumih ponuja netehničnim uporabnikom za izvajanje lastnih kriminalnih dejavnosti.
— EC3 (@EC3Europol) 10. marec 2023
Začetna preiskava FBI se je začela leta 2020, ko so preiskovalci kupili kopijo domnevne zlonamerne programske opreme in jo predali v nadaljnjo analizo. Glede na povzetek verjetnega vzroka v nalogu je preiskovalcem FBI uspelo uspešno dostopati do spletnega mesta, plačati naročnino in prenesti paket NetWire RAT za uporabo. Ko je bil pridobljen, je računalniški znanstvenik FBI uporabil orodje za ustvarjanje NetWire za konfiguracijo primerka za testiranje zmogljivosti zlonamerne programske opreme na določenem testnem stroju. NetWire v nobenem trenutku ni poskušal preveriti, ali so tisti, ki analizirajo programsko opremo, dejansko imeli dostop do ciljnega računalnika.
Ko je bila konfigurirana, je FBI-jev računalniški znanstvenik potrdil, da je programska oprema uporabnikom NetWire omogočala dostop do datotek, zapiranje aplikacij, pridobivanje informacij za preverjanje pristnosti, sledenje pritiskom tipk, izvajanje ukazov in snemanje posnetkov zaslona, vse brez opozorila ciljnega uporabnika. Vse te zmožnosti, vedenje in pomanjkanje obvestil, ki so vse vizitke tradicionalnega napada RAT, so zasnovane tako, da pritegnejo zlonamerne akterje z namenom, da izkoristijo druge nič hudega sluteče uporabnike.
Organizacije in uporabniki si lahko na več načinov pomagajo preprečiti, da bi postali žrtve RAT-jev in drugih napadov, ki temeljijo na socialnem inženiringu. Prejšnji članek iz INFOSEC-a podrobno opisuje, kako je NetWire deloval, in ponuja nasvete za uporabnike in organizacije, kako se braniti pred tovrstnimi napadi. Tej vključujejo:
- Usposabljanje uporabnikov, da se zavedajo potencialnih shem lažnega predstavljanja in kako z njimi ravnati
- Prepoznavanje e-poštnih sporočil neznanih pošiljateljev ali virov s sumljivimi prilogami
- Preverjanje virov z alternativnimi sredstvi pred odpiranjem ali prenosom vsebine
- Uporaba proti zlonamerne programske opreme, protivirusne programske opreme ali druge programske opreme za zaščito končne točke
- Posodabljanje celotne programske opreme in datotek operacijskega sistema
Donald Alway, pomočnik direktorja, odgovoren za terenski urad FBI v Los Angelesu, je poudaril pomen odstranitve zlonamerne programske opreme NetWire. „Z odstranitvijo NetWire RAT je FBI vplival na kriminalni kibernetski ekosistem.” Izjave Alwaya so poudarile tudi dejstvo, da je „… globalno partnerstvo, ki je privedlo do aretacije na Hrvaškem, odstranilo tudi priljubljeno orodje, ki se uporablja za ugrabitev računalnikov, da bi ohranili globalne goljufije, kršitve podatkov in vdore v omrežja s strani groženjskih skupin in kibernetskih kriminalcev.”