Nemzetközi akció bénította meg a SocGholish botnet infrastruktúráját

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe

Nemzetközi bűnüldöző szervek és kiberbiztonsági cégek közös akcióban bénították meg az Evil Corp kiberbűnözői csoporthoz köthető SocGholish (más néven FakeUpdates) infrastruktúrát. A művelet során 106 szervert és domaint kapcsoltak le, és 14 971 fertőzött WordPress-alapú weboldalt tisztítottak meg, amivel sikerült megszakítani egy évek óta működő, rendkívül veszélyes támadássorozatot.

A SocGholish egy 2017 óta aktív kártékony kód, amely feltört weboldalakon keresztül fertőzi meg a gyanútlan látogatókat. A módszer egyszerű, de hatékony: a felhasználókat ráveszik, hogy töltsenek le egy biztonsági frissítésnek (például böngésző- vagy bővítményfrissítésnek) álcázott fájlt. Ha ez megtörténik, a támadók kezdeti hozzáférést (initial access) szereznek a rendszerhez, amit aztán ugródeszkaként használnak a későbbi támadásokhoz.

A megfertőzött számítógépekből egy zsarolóvírus-kampányokhoz és kiberkémkedéshez használható botnet épül. A SocGholish azért is veszélyes, mert forgalomirányító (Traffic Distribution System – TDS) technológiát használ. Ezzel a támadók dinamikusan terelhetik a webes forgalmat: elrejthetik a tevékenységüket a hagyományos védelmi rendszerek (tűzfalak, szűrők) elől, és pontosan oda (adathalász oldalakra vagy újabb kártevőkhöz) irányíthatják az áldozatokat, ahová akarják.

A mostani akcióban az amerikai, kanadai, német és holland hatóságok, valamint az Europol dolgozott együtt olyan nagy kiberbiztonsági vállalatokkal, mint az Infoblox és a Proofpoint. A szakmában az Evil Corpot jelentős kiberbűnözői csoportként tartják számon, a SocGholish/TA569-infrastruktúrát pedig régóta az initial access és a TDS-alapú webes támadási láncok fontos szereplőjeként követik.

A lekapcsolás a 2024-ben indított, nemzetközi Operation Endgame nevű kezdeményezés része, amely a kiberbűnözői infrastruktúrák felszámolását tűzte ki célul.

A SocGholish hálózat kulcsfontosságú láncszem volt a zsarolóvírus-iparban, mivel ezen keresztül adtak hozzáférést olyan ismert zsarolóvírus-családoknak, mint a LockBit, a DoppelPaymer, a Hades, a RansomHub vagy a WastedLocker. Ez a „hozzáférés, mint szolgáltatás” (Access-as-a-Service) modell hűen mutatja a modern kiberbűnözés üzleti alapú működését: a hálózatba való bejutás, a belső terjeszkedés és a tényleges zsarolás gyakran teljesen különálló bűnözői csoportok kezében van.

A fertőzések jelentős része WordPress-alapú weboldalakon keresztül zajlott. A holland rendőrség szerint a támadók gyakran mindennapi kisvállalkozások, például éttermek vagy autószervizek oldalait használták ki. Ezek a webhelyek ideális célpontok: bár valós, legitim forgalmat bonyolítanak, a biztonsági frissítéseikkel és a védelmükkel ritkán foglalkoznak érdemben.

Az FBI a sikeres akció után külön figyelmeztetést adott ki a TDS-alapú támadások veszélyeire. Ez a technológia ugyanis lehetővé teszi a támadók számára, hogy megszűrjék a célpontokat (például földrajzi hely, eszköztípus vagy viselkedés alapján), hogy kiszűrjék a biztonsági kutatókat vagy a tesztkörnyezeteket (sandboxokat), a valódi hozzáféréseket pedig értékesíthetik más bűnözői csoportoknak.

Bár a mostani csapás komoly veszteség az Evil Corpnak, a szakértők emlékeztetnek: az ilyen infrastruktúrák viszonylag gyorsan képesek újraszerveződni. Ezért a nemzetközi összefogás mellett a cégek saját védelme is kulcsfontosságú. A megelőzés alapja továbbra is a webes alkalmazások folyamatos frissítése, a munkatársak biztonsági tudatossága és a többrétegű védelmi rendszerek használata.