Компания Microsoft объявила, что провела успешную атаку на ботнет под названием Trickbot, от которого пострадали некоторые пользователи сервиса Office 365. Компания подала запрос на арест инфраструктуры ботнета.
Команда Microsoft Defender Antivirus работала совместно с партнёрами в сфере борьбы с киберпреступностью над сбором образцов и критической информации о работе ботнета. Участвовали представители FS-ISAC, Lumen Black Lotus Labs, ESET, Symantec, NTT.
Согласно поданным в суд документам, Microsoft хочет получить разрешение захватить домены и серверы российской хакерской группы. Также компания хочет заблокировать IP-адреса, связанные с работой ботнета, и не дать возможности приобретать и арендовать серверы.
Эти запросы являются частью более масштабного плана действий по уничтожению данных в хакерских системах. Microsoft намеревалась заблокировать доступ к серверам, которые управляют более чем миллионом инфицированных компьютеров. Также компания хочет приостановить доступ к более чем 250 млн. попавших в сеть в результате взлома почтовых адресов.
Стратегия Trickbot оказалась успешным благодаря использованию кастомного стороннего приложения Office 365. Если пользователи устанавливали его, злоумышленники могли обойти пароли за счёт токена OAuth2. Это позволяло взломать учётные записи пользователей в Microsoft 365 и получать доступ к таким данным, как содержимое электронной почты и списков контактов.
Чтобы ввести пользователей в заблуждение, хакеры используют адрес электронной почты, выглядящий как принадлежащие Microsoft. Использование связанной с Microsoft информации вредит имиджу компании.
Впервые этот ботнет был обнаружен в 2016 году. Сначала это был банковский троян, затем он превратился в установщик разнообразного вредоносного ПО. Это позволило ему инфицировать миллионы устройств по всему миру. Владельцы ботнета предоставляли платный доступ к нему другим злоумышленникам.
Специалисты по безопасности из Intel471 считают, что усилия Microsoft оказали минимальное влияние. Сеть чрезвычайно децентрализованная и использует сокрытие IP. Microsoft в момент написания отчёта обладала всего четырьмя IP-адресами серверов Trickbot, что мало влияет на работу ботнета.