Česká stopa v Operaci Endgame: výzkumníci ESETu pomohli rozbít malwarové sítě Amadey a Stealc
Mezinárodní Operace Endgame pokračuje – a tentokrát s výraznou českou stopou. Zásah proti botnetu Amadey a infostealeru Stealc, vedený sekcí Digital Crimes Unit společnosti Microsoft, narušil aktivity a infrastrukturu obou malwarových rodin včetně známých řídicích serverů (C&C). Orgány činné v trestním řízení díky tomu mohly s vysokou mírou jistoty identifikovat útočníky a podniknout proti nim kroky.
Podstatnou část podkladů dodali výzkumníci z české pobočky společnosti ESET, kteří se specializují na kybernetickou kriminalitu. Poskytli technickou analýzu, statistická data, seznam řídicích serverů, šifrovací klíče, identifikátory kampaní a další informace. Aktivity obou malwarových rodin přitom sledovali tři roky a v monitoringu hodlají pokračovat. Do akce se vedle Microsoftu a ESETu zapojily také firmy BitSight, Lumen a Mitsui Bussan Secure Directions.
Amadey i Stealc jsou typickými zástupci modelu malware jako služba (MaaS). Autoři je propagují na darknetových fórech a pronajímají dalším útočníkům, kteří s nimi pak vedou vlastní kampaně. Partneři v obou ekosystémech dostávají administrativní panel, který si nasazují na vlastní serverové infrastruktuře – to od nich vyžaduje jistou technickou zdatnost, ale zároveň jim dává přímou kontrolu nad daty obětí i distribucí malwaru. Nejčastějšími kanály šíření byly podle dat ESETu falešné aktualizace softwaru, instalátory cracknutých programů a škodlivé loadery třetích stran.
Amadey je modulární loader: jeho hlavním úkolem je dopravit do kompromitovaného systému další škodlivý kód. Nabízí také moduly pro sledování schránky, krádež přihlašovacích údajů a vzdálený přístup. Obchodní model je založen na licenci za 600 dolarů v bitcoinech, přičemž každá nová verze malwaru – například při přechodu na nový řídicí server – stojí dalších 50 dolarů. Vzorky se kompilují na vyžádání zvlášť pro každého partnera.

Stealc je oproti tomu klasický infostealer. Zaměřuje se na přihlašovací údaje uložené v prohlížečích, e-mailových a FTP klientech i herních platformách, na soubory cookies, kryptoměnové peněženky a rozšíření prohlížečů. Provozovatelé zvolili k partnerům přívětivější přístup: v rámci předplatného, jehož nejlevnější varianta stojí tisíc dolarů na šest měsíců, nabízejí neomezené generování nových verzí malwaru. To partnerům usnadňuje obměnu infrastruktury a tvorbu čerstvých vzorků podle potřeby.
Kombinace loaderu a infostealeru tvoří dvě poloviny výrobní linky komoditní kybernetické kriminality: loader získá prvotní přístup do systému a pronajme ho, infostealer z něj vytěží přihlašovací údaje a další data, která se následně prodávají na podzemních fórech. Ukradené přístupy pak často slouží jako vstupní brána pro ransomwarové útoky – i proto je narušení této infrastruktury významné daleko za hranice obou konkrétních malwarových rodin.
Pro české firmy a instituce má celá akce dvojí význam. Ukazuje, že tuzemská expertiza hraje v globálních zásazích proti kybernetické kriminalitě viditelnou roli. A připomíná, kudy tento typ malwaru do organizací nejčastěji proniká: přes falešné aktualizace a nelegální software. Důsledný zákaz instalací neověřeného softwaru, správa oprávnění koncových stanic a vícefaktorové ověřování zůstávají nejúčinnější obranou – ukradené heslo z infostealeru je pro útočníka bezcenné, pokud samo o sobě k přihlášení nestačí.
Další články

Česká stopa v Operaci Endgame: výzkumníci ESETu pomohli rozbít malwarové sítě Amadey a Stealc

Phantom squatting: útočníci registrují domény, které si AI modely vymyslely

