«Белый» хакер полгода сдерживал атаки ботнета Emotet
#ботнет #зловред #эксплойт #хакеры
«Белый» хакер полгода сдерживал атаки ботнета Emotet

Ранее сообщалось, что ботнет Emotet, признанный одной из главных существующих киберугроз, возобновил свою активность после полугодовой паузы. Теперь стали известны причины этой «передышки», которую неожиданно получили IT-специалисты и борцы с киберугрозами, которым практически в ежедневном режиме приходится противостоять атакам Emotet. Поблагодарить за случившееся следует Джеймса Куинна, сотрудника компании Binary Defense и члена объединения «белых» или «этических» хакеров Cryptolaemus.

В начале февраля, изучая очередное обновление вредоносного ПО Emotet, Куинн обнаружил в нем уязвимость. Следует понимать, что специалисты по кибербезопасности очень осторожно относятся к такого рода находкам. Созданный для них эксплойт может нанести вред не только самому зловреду, но и инфицированным им системам, а потому атаковать вредоносное ПО – очень рискованная задача. Но последовательно изучив серию обновлений для Emotet, Джеймс Куинн смог создать эксплойт, который защищал системы от заражения и обезвреживал зловред на уже инфицированных устройствах без ущерба для последних. Созданный им PowerShell-скрипт разрушал механизм персистентности Emotet: вредоносное ПО просто переставало работать после перезагрузки.

Не менее сложной была и следующая задача: эксплойт предстояло распространить максимально широко, но при этом избежав любой огласки, чтобы о нем не узнали операторы Emotet. Куинн и Binary Defense обратились за помощью к компании Team CYMRU, обладающей большим опытом борьбы с ботнетами и широкими связями. В результате средство борьбы с Emotet успели получить 125 национальных центров реагирования на киберугрозы и более 6 тысяч подписчиков рассылки Team CYMRU. Все это время операторы Emotet постоянно выпускали все новые обновления, отчаянно пытаясь понять причину своих проблем. Лишь через 6 месяцев они обнаружили уязвимость и ликвидировали ее. Теперь ботнет вновь набирает силу, но эта история – редкий пример того, как специалисты по кибербезопасности смогли перехватить инициативу у создателей зловредов.

И еще одна любопытная деталь. Джеймс Куинн обратился в некоммерческую организацию MITRE, которая регистрирует уязвимости ПО и присваивает им идентификаторы CVE (Common Vulnerabilities and Exposures). Там его заявку отклонили. Пожалуй, напрасно – Emotet мог бы стать первым в истории зловредом с собственным CVE-идентификатором.