ตำรวจสากลได้ทำการเปิดเผยวันนี้ว่าได้ทำการปิดเครือข่ายของ Andromeda (Gamarue หรือ Wauchos) botnet

การปิดเครือข่ายดังกล่าวกระทำเมื่อวันที่ 29 พย. 2017 ที่ผ่านมา โดยเป็นการร่วมกันระหว่าง Federal Bureau of Investigation (FBI), Luneburg Central Criminal Investigation Inspectorate ในเยอรมัน, Europol’s European Cybercrime Centre (EC3), the Joint Cybercrime Action Task Force (J-CAT), และ Eurojust. อีกทั้งยังร่วมมือกับองค์กรอื่นๆอีกเช่น Shadowserver Foundation, Microsoft, ESET, Registrar of Last Resort, Internet Corporation for Assigned Names and Numbers (ICANN) และ domain registries อีกมากมาย, Fraunhofer Institute for Communication, Information Processing and Ergonomics (FKIE), และ the German Federal Office for Information Security (BSI).

Andromeda (Gamarue หรือ Wauchos) botnet ถูกพบครั้งแรกในปี 2011 และก็โตมากขึ้นเรื่อบๆในหลายปีที่ผ่านมาจากการ report ของ Microsoft (2015), G Data (2016), Fortinet (2016), และ ESET (2017).

ในช่วงเวลาที่ผ่านมาขบวนการของ Andromeda นั้นใช้ botnet เพื่อส่ง spam เพื่อการแพร่กระจาย และเพื่อให้ botnet ยังคงอยู่ อีกทั้งยังมีการส่ง malware สำหรับ stage ที่ 2 ด้วย การวางแผนแบบนี้ทำให้เจ้าของ Andromeda นั้นสร้างผลประโยชน์ด้วยการปล่อยให้เช่าเครื่องที่ติด malware เหล่านี้ได้

จากข้อมูลของ Microsoft เมื่อทำการปิดเครือข่ายดังกล่าวพบว่ามี malware ที่ user ติดเพิ่มเติมอยู่ถึง 80 แบบในช่ง 6 เดือนย้อนหลัง และมีเครื่องที่ติด botnet อยู่ประมาณ 1 ล้านเครื่องต่อเดือน

การหยุดเครือข่ายนี้ไม่ใช่สิ่งที่เพิ่งจะทำ เป็นกระบวนการที่ทำมาเป็นปีแล้วเพื่อหยุดเครือข่ายการแพร่กระจาย malware ที่ชื่อว่า Avalanche.

Avalanche เป็นเครือข่ายของ servre ที่ทำ service เพื่อให้บริการการแพร่กระจาย malware ถึง 21 สายพันธุ์

จากข้อมูลของ Europol และ Shadow Foundation, เจ้าหน้าที่ไม่ได้ให้ข้อมูลอะไรเกี่ยวกับ host ที่แพร่กระจาย Andromeda และตลอดปีที่ผ่านมาพยายามจะไม่พูดถึงในสื่อเพื่อให้กระบวนการสืบสวนเป็นไปได้อย่างไม่มีปัญหาอะไร ตลอดหลายปีที่ผ่านมาเจ้าหน้าที่พยายามจะปิดเครือข่ายดังกล่าวแต่ก็ล้มเหลวมาตลอดเพราะข้อมูลที่ไม่ดีพอ

หลังจากผ่านมาหลายปีของการรวบรวมข้อมูลก็ได้ข้อมูลที่ดีเพียงพอต่อการเริ่มปฏิบัติการปิดเครือข่ายดังกล่าว เริ่มด้วยการจับบุคคลใน Belarus ซึ่งถูกตั้งข้อสงสัยว่าเป็นผู้เขียน Andromeda Botnet จากนั้นผู้สืบสวนได้ทำการยึด C&C server ของ Andromeda อีก 7 เครื่อง ซึ่งเครื่องเหล่านั้นได้ถูกใช้ในการควบคุม botnet และใช้ domain name อีก 1,500 domain names

Server เหล่านี้ควบคุมเครื่อง Server ของ Andromeda อีก 460 เครื่อง นั่นคือเหตุผลว่าทำไมก่อนหน้านี้เจ้าหน้าที่ไม่สามารถปิดเครือข่าย Andromeda ได้ เพราะถ้าหากไม่ได้ยึดเครื่องทั้งหมด ก็สามารถจะเริ่มขบวนการใหม่ได้ทันที

หลังจากการปิด server ดังกล่าวผ่านไป 48 ชั่วโมงพบถึงเครือข่ายขนาดใหญ่ของ Andromeda และจาก report พบว่า Andromeda ถูกใช้งานใน 223 ประเทศและมีเครื่องถึง 2 ล้านเครื่องที่พยายามจะติดต่อ server 7 เครื่องดังกล่าว

อย่างไรก็ตาม Necurs ก็ยังเป็นกลุ่ม botnet ที่ใหญ่ที่สุดในโลก ซึ่งมีคนติดประมาณ 5-6 ล้านเครื่องต่อดือน

Source:: BleepingComputer