Microsoft и другие мировые компании в области информационной безопасности организовали совместную операцию по саботажу инфраструктуры управления и контроля (C2), используемой вредоносным ПО Trickbot. Оно внедряет программы-вымогатели в компьютеры жертв.

Microsoft заявила, что в ходе операции удалось предотвратить кибератаку, которая представляла угрозу избирательной инфраструктуре ноябрьских президентских выборов в США. Так, ботнет мог заразить компьютерные системы со списками избирателей или промежуточными итогами голосования, а затем заблокировать к ним доступ.

Вице-президент по безопасности Microsoft Том Берт сообщил, что IT-гигант добился судебного приказа на отключение IP-адресов, связанных с Trickbot: «Мы отключили ключевые компоненты инфраструктуры, чтобы те, кто управляет Trickbot, не смогли инициировать новые заражения или активировать вирусы-вымогатели, уже внедренные в компьютерные системы». Также компания добилась того, чтобы все услуги для операторов ботнета и любые их действия по покупке или аренде дополнительных серверов блокировались.

Ранее Microsoft предупредила об угрозе атак со стороны хакерских группировок из России, Китая и Ирана в период президентских выборов. Там сообщили, что такие атаки уже организовали против штаба президента США Дональда Трампа и его соперника Джо Байдена.

Партнерами Microsoft стали ESET, Lumen’s Black Lotus Labs, NTT, Symantec, принадлежащая Broadcom, и другие.

Microsoft сумела использовать закон США о товарных знаках для изъятия и уничтожения инфраструктуры Trickbot C2 на том основании, что вредоносная программа иногда выдает себя за операционную систему Windows.

Однако исследователь безопасности Брайан Кребс считает, что некоторые из серверов Trickbot C2 продолжают работать.

По информации Feodo Tracker, швейцарского сайта безопасности, который отслеживает интернет-серверы, используемые в качестве контроллеров ботнетов, около двух десятков серверов управления Trickbot, некоторые из которых впервые стали активными в начале этого месяца, все еще отвечают на запросы. В течение суток остались доступными шесть серверов.

Компания Intel 471, занимающаяся киберразведкой, заявляет, что полное уничтожение Trickbot потребует беспрецедентного уровня сотрудничества между сторонами и странами, которые, скорее всего, не пойдут на это. Отчасти это связано с тем, что основной механизм управления и контроля Trickbot поддерживает обмен данными через TOR. Исследователи считают, что

ликвидация инфраструктуры Trickbot «окажет небольшое средне- и долгосрочное влияние на работу».

Вдобавок ко всему, у Trickbot есть резервный метод связи, в котором используется децентрализованная система доменных имен EmerDNS, которая позволяет людям создавать и использовать независимые от контролирующих органов домены.