Mỹ tiêu diệt mạng botnet QakBot tấn công ẩn danh trên 700.000 máy tính
Một chiến dịch phối hợp thực thi pháp luật của Cục Điều tra liên bang Mỹ (FBI) có tên mã là Duck Hunt đã loại bỏ mạng botnet QakBot và thu giữ 8,6 triệu USD giá trị tiền điện tử.
Theo The Verge, Chính phủ Mỹ vừa hỗ trợ triệt phá một mạng lưới máy tính khổng lồ bị nhiễm phần mềm độc hại khét tiếng nhất thế giới. FBI đã báo cáo rằng một chiến dịch bảo mật đa quốc gia do Mỹ dẫn đầu mang tên “Operation Duck Hunt” đã hạ gục Qakbot, một phần mềm độc hại đã xâm nhập vào hơn 700.000 máy tính trên toàn cầu.
Bộ Tư pháp Mỹ (DoJ) cho biết, phần mềm độc hại đang được xóa khỏi máy tính nạn nhân, ngăn việc gây thêm bất kỳ tác hại nào, đồng thời nhà chức trách đã tịch thu hơn 8,6 triệu USD tiền điện tử bất hợp pháp.
Chiến dịch xuyên biên giới có sự tham gia của các quốc gia Pháp, Đức, Latvia, Romania, Hà Lan, Anh và Mỹ, cùng sự hỗ trợ kỹ thuật từ Công ty an ninh mạng Zscaler. Đây là cuộc truy quét nhằm làm gián đoạn tài chính và kỹ thuật lớn nhất do Mỹ lãnh đạo đối với cơ sở hạ tầng mạng botnet được tội phạm mạng tận dụng, dù không có vụ bắt giữ nào được công bố.
Mô hình điều khiển mạng botnet của QakBot.
Tin tặc thường tấn công các nạn nhân bằng cách gửi cho họ những email spam có chứa các tệp đính kèm hoặc đường link độc hại dẫn đến Qakbot. Ngay khi nạn nhân tải xuống tệp đính kèm hoặc nhấp vào link, Qakbot sẽ lây nhiễm vào máy tính của họ, sau đó máy tính này sẽ trở thành một phần của mạng botnet – có thể hiểu là một mạng lưới gồm nhiều máy tính bị lây nhiễm và nằm dưới quyền điều khiển từ xa của tin tặc. Từ đó, kẻ xấu có thể cài đặt thêm phần mềm độc hại trên thiết bị của nạn nhân, chẳng hạn như ransomware.
Để triệt phá mạng lưới này, FBI đã định tuyến Qakbot thông qua các máy chủ do FBI kiểm soát, sau đó cơ quan này sẽ phân phối đến các máy tính bị lây nhiễm ở Mỹ và các quốc gia khác một phần mềm chuyên dụng để gỡ cài đặt Qakbot. Phần mềm gỡ mã độc này cũng tách các máy tính bị nhiễm khỏi mạng botnet, nhằm ngăn chặn việc phát tán rộng hơn của Qakbot.
Tính đến giữa tháng 6/2023, 853 máy chủ cấp 1 đã được xác định ở 63 quốc gia, máy chủ cấp 2 hoạt động như proxy để che giấu máy chủ điều khiển chính. Dữ liệu do Abuse.ch thu thập cho thấy tất cả các máy chủ QakBot hiện đã ngoại tuyến.
Theo HP Wolf Security, QakBot cũng là một trong những dòng phần mềm độc hại hoạt động tích cực nhất trong quý 2/2023 với 18 chuỗi tấn công và thực hiện 56 chiến dịch. Nó cho thấy xu hướng của nhóm tội phạm đang cố gắng nhanh chóng khai thác những lỗ hổng trong hệ thống phòng thủ mạng để trục lợi bất chính.
