Gigantisk cybercrime-infrastruktur pillet ned af internationalt samarbejde

Gennem fire år har Europol i samarbejde med andre organisationer arbejdet på at pille Avalanche-infrastrukturen fra hinanden.

Efter fire års efterforskning har Europol i samarbejde med blandt andet FBI og en række private partnere optrevlet en crime-as-a-service-infrastruktur kaldet Avalanche.

Det oplyser det europæiske politisamarbejde i en pressemeddelelse.

Avalanche-netværket har været brugt til at distribuere og kontrollere malware-angreb på en stor skala. Derudover har netværket været brugt til rekruttering af de såkaldte money mules. Det er betegnelsen for personer, der - vidende eller uvidende - hjælper de kriminelle bagmænd med at flytte penge rundt.

Omkring 20 malware-familier menes at være blevet distribueret via netværket. Herunder goznym, marcher, matsnu, urlzone, xswkit og pandabanker.

Nedtagningen af netværket er sket 30. november via en koordineret indsats mellem forskellige aktører. Samarbejdet op til nedtagningen har blandt andet involveret efterforskere og anklagere fra mere end 30 lande. Fem personer er blevet anholdt i den forbindelse, 37 lokaliteter er blevet ransagede og 39 servere er blevet beslaglagt.

Ifølge Europol-meddelelsen er der blevet identificeret ofre for malware-infektioner via Avalanche i mere end 180 lande. Operationen involverer den største brug nogensinde af det, der kaldes sinkholing.

Sinkholing vil sige, at trafikken mellem en inficeret enhed og den bagvedliggende, ondsindede infrastruktur bliver omdirigeret til - i dette tilfælde - servere, som er kontrolleret af politimyndigheder og/eller it-sikkerhedsvirksomheder.

Dette kan gøres ved at overtage kontrollen med de ip-adresser eller domæner, som de kriminelle kommunikerer via. I forbindelse med 'Operation Avalanche', som Europol kalder politi-indsatsen, er mere end 800.000 domæner blevet beslaglagt.

Phishing, malware og spam

Avalanche-infrastrukturen har ifølge Europol været brugt til malware, phishing og spam-aktiviteter siden 2009. I den forbindelse oplyser politisamarbejdet, at der er blevet sendt mere end en million mails med skadelige filer eller links om ugen til potentielle ofre.

Efterforskningen af Avalanche startede i 2012 i Tyskland i forbindelse med, at ransomware - kaldet Windows Encryption Trojan - havde inficeret et betragteligt antal computersystemer. Derudover var millioner af private og virksomhedscomputere også blevet inficeret med malware, hvilket gjorde de kriminelle bagmænd i stand til at høste bank- og mail-kodeord.

Med disse oplysninger overførte bagmændene penge fra ofrenes bankkonti.

Double fast flux

For at gøre det sværere at finde frem til bagmændene og gøre Avalanche-netværket mere modstandsdygtigt over for forsøg på nedtagning har netværket været bygget med en teknik kaldet double fast flux.

Europol oplyser, at fast flux vil sige, at botnet-bagmænd hurtigt (TTL på 300 sekunder) udskifter ip-adresserne bag de domænenavne, som netværket kommunikerer via.

Double fast flux vil sige, at både de bagvedliggende ip-adresser og domænerne bliver udskiftet.

Europol har udgivet en grafik, der har til formål at forklare de nærmere infrastrukturelle detaljer.

Selvom netværket nu er taget ned, så er der en del oprydningsarbejde, da mange maskiner stadig er inficeret med malware. Rumænske Bitdefender, der har er den del af Operation Avalanche-indsatsen, har udviklet software til at desinficere berørte maskiner.

Version2 har talt med Bitdefenders chief security strategist, Catalin Cosoi, om Operation Avalanche.

Han fortæller, at mens Avalanche-bagmændene har leveret infrastrukturen for forskellige former for malware - ransomware, bank-trojanere etc - så er selve malwaren kommet fra andre grupper.

I den forbindelse har Avalanche-gruppen blandt andet kunnet levere den såkaldte command&control-infrastruktur. Det vil sige det bagvedliggende system, som gør det muligt for bagmændene at udstede kommandoer til eksempelvis maskiner i et botnet.

»Avalanche-gruppen stod for leveringsplatformen, command&control-infratrukturen, men de samarbejdede med andre grupper, som i sig selv skabte malware-varianterne. Det politiet har gjort, ved at nedtage Avalanche-gruppen, er at nedtage leveringsmekanismen,« siger Catalin Cosoi og tilføjer:

»Det er crimeware-as-a-service. Hvis nogen for eksempel havde udviklet noget ransomware, så kontaktede man Avalanche-gruppen, og de kunne klare resten. For eksempel udsendelse af spam for at inficere folk.«

Catalin Cosoi forklarer, at mange maskiner stadig er inficerede med malware udsendt via Avalanche-netværket. Eksempelvis med ransomware. I nogle tilfælde er det muligt gendanne krypterede filer, mens det i andre tilfælde ikke er muligt at dekryptere indholdet. Det afhænger af, hvor dygtige folkene bag de enkelte ransomware-samples har været til at implementere krypterings-mekanismen.

Uden fortilfælde

Overordnet set betegner han Operation Avalanche som virkelig stor og uden fortilfælde, de mange involverede aktører taget i betragtning. Catalin Cosoi mener, operationen vil skabe præcedens i kampen mod crimeware.

Spørgsmålet er, om de fire års efterforskning, der har ledt op til nedtagningen af Avalanche står mål med den tid, det vil tage at opbygge en ny, lignende og måske forbedret crime-as-a-service-infrastruktur.

»At bygge en crime-as-a-service-platform er ikke nødvendigvis svært at gøre. Hvis du har de rette investeringer og det rette drive, så vil du kunne gøre det. Den gode nyhed ved Operation Avalanche er det faktum, at det viser andre lande og andre politimyndigheder, at denne form for internationalt samarbejde kan lade sig gøre. Så jeg håber, at de folk, der laver den slags infrastruktur, bliver lidt mere bange nu, hvor de har set, at det kan lade sig gøre,« siger Catalin Cosoi.

Måske vil de bare være mere udspekulerede og mere forsigtige, så det bliver sværere ...?

»Eller måske lidt mere udspekulerede ... ja, det kan også være. Når det gælder sikkerhedsbranchen, så er det altid en katten efter musen-leg,« siger Catalin Cosoi.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere