Andromeda (anche nota come Gamarue), une delle più grandi e longeve botnet mondiali, è stata smantellata.
È il risultato di un’operazione congiunta del Federal Bureau of Investigation (FBI), dell’Ispettorato centrale delle investigazioni criminali di Lunenburg in Germania, del Cybercrime Centre (E3) di Europol, della Joint Cybercrime Action Task Force (J-CAT), di Eurojust e dei partner del settore privato.
La sua caratteristica è stata per lungo tempo la distribuzione diffusa di un omonimo malware, il cui obiettivo era incrementare la rete di computer zombies in tutto il mondo. Andromeda era, infatti, associata a 80 famiglie di codici malevoli e nell’ultimo periodo è stata rilevata su oltre 1 milione di macchine ogni mese. Peraltro, era associata anche alla rete Avalanche, smantellata in una maxi operazione cyber il 30 novembre del 2016.
L’operazione è nata per contrastare il “money mule” e le infezioni malware
La nuova operazione, infatti, è nata proprio dal caso di Avalanche. Allora Europol, FBI, Eurojust, la procura federale di Verden e la polizia di Lunenburg e gli altri attori scoprirono che la botnet era usata dal cybercrime per diffondere Andromeda e per laniare campagne di reclutamento sul “money mule”. La pratica, illegale, prevede che una persona trasferisca denaro ottenuto illecitamente con diversi strumenti a pagamento, spesso tra diverse nazioni. Il suo guadagno consiste nel trattenere le commissioni. I cyber investigatori sono partiti da qui per cominciare a tracciare la distribuzione di Andromeda e per capire chi ci fosse dietro.
Per il successo dell’operazione è stato fondamentale il “sinkholing”
I cyber 007 hanno preso misure contro diversi server e domini, usati per diffondere Andromeda. Oltre 1.500 di essi hanno subito per 48 ore un “sinkholing”: cioè il traffico è stato re-indirizzato verso indirizzi monitorati dagli investigatori per acquisire informazioni. Si parla di 2 milioni di vittime del malware in 233 paesi monitorati. Le attività d’indagine hanno poi permesso di scoprire e arrestare un sospetto in Bielorussia. Parallelamente, le stesse azioni sono state estese per un anno anche in Germania in relazione ad Avalanche. Ciò è stato necessario, in quanto a livello globale il 55% dei sistemi infetti dal codice malevolo allora, lo sono anche oggi. Da qui l’esigenza di monitorarli costantemente per trovare il punto di origine della botnet.
La vittoria contro Andromeda ha coinvolto Europol, FBI, Eurojust, diversi paesi Ue e non UE e il settore privato
L’intera cyber operazione ha coinvolto numerosi membri dell’Unione Europea e non. Quelli UE sono Austria, Belgio, Finlandia, Francia, Italia, Paesi Bassi, Polonia, Regno Unito (UK) e Spagna. Gli altri, Australia, Bielorussia, Canada, Montenegro, Singapore e Taiwan. Gli attori del settore privato che hanno partecipato alla caccia alla botnet Andromeda e ai resti di Avalanche, invece, sono stati Shadowserver Foundation, Microsoft, Registrar of Last Resort, Internet Corporation for Assigned Names and Numbers (ICANN), Fraunhofer Institute for Communication, Information Processing and Ergonomics (FKIE) e l’Ufficio federale tedesco per la Information Security (BSI). L’azione anti-malware è stata infine coordinata dal centro di comando presso il quartier generale di Europol.