Međunarodna operacija Microsofta, Europola i nemačke BKA oborila je više od 200 komandno-kontrolnih servera i prekinula kontrolu kriminalaca nad više od 18.000 zaraženih računara. Na meti su bili malveri Amadey i StealC, čija je analiza ubrzana primenom AI. Primena američkog RICO zakona omogućila je zajednički progon više aktera kao jedne globalne zavere, što je dovelo do zaplena servera i izdatih međunarodnih poternica.
Microsoft, Europol i nemačka BKA oborili više od 200 C2 servera — AI i RICO razbili mrežu Amadey i StealC
FILE PHOTO - A person types with gloved hands on an illuminated laptop keyboard. (is associated with: «Microsoft, Germany's BKA and Europol take down 200 cybercrime servers») Philip Dulian/dpa
Istraga koju su zajednički vodili Microsoft, Europol i nemačka Savezna kriminalistička policija (BKA) dovela je do obaranja više od 200 komandno-kontrolnih (C2) servera i prekida kontrole kriminalaca nad više od 18.000 identifikovanih zaraženih računara širom sveta.
Ko su bili glavni akteri malicioznog softvera?
U centru operacije nalazila su se dva najraširenija i najopasnija alata za infekciju: Amadey i StealC. Analiza je pokazala da, iako su ih razvijali različiti kriminalni akteri, oba malvera koriste istu tehničku infrastrukturu. Amadey se uglavnom koristi za probijanje sistema i instalaciju malvera, dok StealC ima ulogu krađe lozinki i osetljivih podataka.
Kako je AI ubrzao istragu?
Istražitelji su primenili veštačku inteligenciju (AI) za analizu složenog koda malvera — zadatak koji je tradicionalno trajao dane — i time skratili vreme na minute. AI je pomogao da se brzo identifikuju zajedničke tehničke karakteristike između različitih zlonamernih alata i povežu razne komponente mreže.
Pravni pristup: RICO
Otkrivši povezanost između Amadey-a i StealC-a, Microsoftov pravni tim je iskoristio američki RICO zakon (Racketeer Influenced and Corrupt Organizations Act). Umesto da se svaki malver procesuira pojedinačno, RICO je omogućio tretiranje više aktera kao dela jedne globalne kriminalne zavere i time efikasniji udar na celu mrežu.
Operacija Endgame i međunarodna saradnja
Deo istrage uklopio se u međunarodnu akciju nazvanu Operacija Endgame, koju su koordinovali Europol i BKA uz učešće policija Holandije i Danske. Akcija je označena kao najveća međunarodna policijska operacija protiv sajber-kriminala do sada: stotine servera su zaplenjene, izdate su međunarodne poternice, a razbijanjem infrastrukture loadera doprinet je prekid kontrole nad velikim brojem kompromitovanih uređaja.
Obim i posledice napada
Samo u prvoj polovini maja ova dva alata su bila umešana u više od 140.000 infekcija širom sveta; u tom uzorku Nemačka je bila druga najpogođenija zemlja, odmah iza Sjedinjenih Država. Posledice takvih infekcija mogu biti ozbiljne — od ometanja rada bolnica do krađe podataka i državno sponzorisane sajber-špijunaže. Napadima povezanih grupa, uključujući grupu Secret Blizzard koja ima veze sa Rusijom, korišćene su Amadey infekcije za ciljanje sistema u Ukrajini.
Šta ovo znači za korisnike?
Iako je operacija uspešno razbila značajan deo infrastrukture, krajnji korisnici i organizacije treba da ostanu oprezni: redovno ažuriranje softvera, korišćenje dvofaktorske autentifikacije (MFA), jaka politika lozinki i upotreba pouzdanih bezbednosnih rešenja ostaju ključni za zaštitu.
Zaključak: Kombinacija tehnoloških alata (AI), snažne međunarodne policijske saradnje i pravnih instrumenata (RICO) pokazala se kao efikasan pristup u borbi protiv organizovanog sajber-kriminala. Ipak, opasnost od malvera ostaje i dalje aktuelna.
Pomozite nam da budemo bolji.
