สหรัฐฯ รื้อถอนบอตเน็ต QakBot ที่ส่งผลกระทบต่อคอมพิวเตอร์ 700,000 เครื่อง

ตามรายงานของ The Hacker News QakBot เป็นมัลแวร์ระบบปฏิบัติการ Windows ที่มีชื่อเสียงฉาวโฉ่ซึ่งคาดว่าได้สร้างความเสียหายให้กับคอมพิวเตอร์มากกว่า 700,000 เครื่องทั่วโลก และยังเอื้อต่อการฉ้อโกงทางการเงินและแรนซัมแวร์อีกด้วย

กระทรวงยุติธรรม สหรัฐฯ (DoJ) กล่าวว่าขณะนี้มัลแวร์กำลังถูกลบออกจากคอมพิวเตอร์ของเหยื่อ เพื่อป้องกันไม่ให้เกิดอันตรายใดๆ เพิ่มเติม และทางการได้ยึดสกุลเงินดิจิทัลผิดกฎหมายมูลค่ารวมกว่า 8.6 ล้านดอลลาร์

ปฏิบัติการข้ามพรมแดน ซึ่งเกี่ยวข้องกับฝรั่งเศส เยอรมนี ลัตเวีย โรมาเนีย เนเธอร์แลนด์ สหราชอาณาจักร และสหรัฐฯ โดยมีการสนับสนุนด้านเทคนิคจากบริษัทด้านการรักษาความปลอดภัยทางไซเบอร์อย่าง Zscaler ถือเป็นการปราบปรามโครงสร้างพื้นฐานบอตเน็ตที่อาชญากรทางไซเบอร์ใช้โดยสหรัฐฯ ครั้งใหญ่ที่สุด แม้ว่าจะไม่มีการประกาศการจับกุมก็ตาม

QakBot หรือที่รู้จักกันในชื่อ QBot และ Pinkslipbot เริ่มดำเนินการเป็นโทรจันการธนาคารในปี 2007 ก่อนที่จะเปลี่ยนไปทำหน้าที่เป็นศูนย์กลางการกระจายมัลแวร์บนเครื่องที่ติดไวรัส รวมถึงแรนซัมแวร์ แรนซัมแวร์บางตัวจาก QakBot ได้แก่ Conti, ProLock, Egregor, REvil, MegaCortex และ Black Basta เชื่อว่าผู้ควบคุม QakBot ได้รับเงินค่าไถ่ประมาณ 58 ล้านดอลลาร์จากเหยื่อระหว่างเดือนตุลาคม 2021 ถึงเมษายน 2023

มัลแวร์โมดูลาร์มักแพร่กระจายผ่านอีเมลฟิชชิ่ง โดยมาพร้อมความสามารถในการสั่งการและรวบรวมข้อมูล QakBot ได้รับการอัปเดตอย่างต่อเนื่องตลอดระยะเวลาที่มันดำรงอยู่ กระทรวงยุติธรรมกล่าวว่าคอมพิวเตอร์ที่ติดมัลแวร์เป็นส่วนหนึ่งของบอตเน็ต ซึ่งหมายความว่าผู้กระทำความผิดสามารถควบคุมคอมพิวเตอร์ที่ติดมัลแวร์ทั้งหมดจากระยะไกลได้ในลักษณะที่ประสานงานกัน

ตามเอกสารของศาล ปฏิบัติการดังกล่าวเข้าถึงโครงสร้างพื้นฐานของ QakBot ซึ่งทำให้สามารถเปลี่ยนเส้นทางการรับส่งข้อมูลของบอตเน็ตผ่านเซิร์ฟเวอร์ที่ควบคุมโดยเอฟบีไอ โดยมีเป้าหมายสูงสุดคือการปิดการใช้งานห่วงโซ่อุปทานของอาชญากร เซิร์ฟเวอร์สั่งให้คอมพิวเตอร์ที่ถูกบุกรุกดาวน์โหลดโปรแกรมถอนการติดตั้ง ซึ่งออกแบบมาเพื่อลบเครื่องออกจากบอตเน็ต QakBot ซึ่งช่วยป้องกันการแพร่กระจายของส่วนประกอบมัลแวร์เพิ่มเติมได้อย่างมีประสิทธิภาพ

QakBot ได้แสดงให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นตามกาลเวลา โดยเปลี่ยนวิธีการอย่างรวดเร็วเพื่อรองรับมาตรการรักษาความปลอดภัยใหม่ๆ หลังจากที่ Microsoft ปิดการใช้งานแมโครตามค่าเริ่มต้นในแอปพลิเคชัน Office ทั้งหมด มัลแวร์ก็เริ่มใช้ไฟล์ OneNote เป็นช่องทางการติดเชื้อเมื่อต้นปีนี้

ความซับซ้อนและความสามารถในการปรับตัวยังอยู่ที่การนำไฟล์รูปแบบต่างๆ เช่น PDF, HTML และ ZIP มาใช้เป็นอาวุธในห่วงโซ่การโจมตีของ QakBot เซิร์ฟเวอร์คำสั่งและการควบคุมของมัลแวร์ส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา สหราชอาณาจักร อินเดีย แคนาดา และฝรั่งเศส ในขณะที่โครงสร้างพื้นฐานด้านแบ็กเอนด์เชื่อกันว่าตั้งอยู่ในรัสเซีย

QakBot ใช้ระบบเซิร์ฟเวอร์สามชั้นเพื่อควบคุมและสื่อสารกับมัลแวร์ที่ติดตั้งบนคอมพิวเตอร์ที่ติดไวรัส เช่นเดียวกับ Emotet และ IcedID วัตถุประสงค์หลักของเซิร์ฟเวอร์หลักและเซิร์ฟเวอร์รองคือการถ่ายทอดการสื่อสารที่เข้ารหัสระหว่างคอมพิวเตอร์ที่ติดไวรัสและเซิร์ฟเวอร์ชั้นที่สามที่ควบคุมบอตเน็ต

ณ กลางเดือนมิถุนายน 2023 มีการระบุเซิร์ฟเวอร์ระดับ 1 จำนวน 853 แห่งใน 63 ประเทศ โดยเซิร์ฟเวอร์ระดับ 2 ทำหน้าที่เป็นพร็อกซีเพื่อปกปิดเซิร์ฟเวอร์ควบคุมหลัก ข้อมูลที่รวบรวมโดย Abuse.ch แสดงให้เห็นว่าเซิร์ฟเวอร์ QakBot ทั้งหมดออฟไลน์แล้ว

ตามรายงานของ HP Wolf Security QakBot ยังเป็นหนึ่งในกลุ่มมัลแวร์ที่ใช้งานมากที่สุดในไตรมาสที่ 2 ของปี 2023 โดยมีห่วงโซ่การโจมตี 18 ชุดและแคมเปญ 56 รายการ ซึ่งแสดงให้เห็นถึงแนวโน้มของกลุ่มอาชญากรที่พยายามหาประโยชน์จากช่องโหว่ในระบบป้องกันเครือข่ายอย่างรวดเร็วเพื่อแสวงหากำไรที่ผิดกฎหมาย