3 grudnia 2015 roku dokonano unieszkodliwienia botnetu Dorkbot, czyli złośliwego oprogramowania, które tylko w minionym roku zainfekowało na całym świecie co najmniej milion urządzeń z systemem Windows. Botnet tworzący sieć zainfekowanych komputerów istniał od 2011 roku i był wykorzystywany przez cyberprzestępców m.in. do kradzieży danych uwierzytelniających, wyłączania programów antywirusowych i dystrybucji innego złośliwego oprogramowania.
Jednym z członków międzynarodowego konsorcjum, które dokonało likwidacji zagrożenia jest zespół CERT Polska, działający w ramach instytutu badawczego NASK.
O działalności botnetu Dorkbot w Polsce zespół CERT Polska poinformował po raz pierwszy jesienią 2012 roku, kiedy to złośliwe oprogramowanie zaczęło się rozprzestrzeniać wśród polskich użytkowników za pomocą programu Skype. Poza komunikatorami, Dorkbot do infekcji wykorzystywał również serwisy społecznościowe oraz nośniki USB. Zdarzało się również, że część infrastruktury do zarządzania botnetem znajdowała się w Polsce.
Aby unieszkodliwić Dorkbota powołano międzynarodowe konsorcjum, na którego czele stanęła firma Microsoft. W jego skład obok zespołu CERT Polska weszły: firma ESET, działający w Departamencie Homeland Security Stanów Zjednoczonych zespół US-CERT, FBI, Interpol, a także Europol oraz inne organy ścigania. Kulminacją działań konsorcjum mających na celu likwidację zagrożenia była destabilizacja wirusa. W efekcie infrastruktura zarządzająca złośliwym oprogramowaniem została unieszkodliwiona, a cały ruch, który generował Dorkbot przeniesiony na konkretne adresy IP, gdzie będzie on przechwytywany i poddany badaniom.
W ramach współpracy eksperci CERT Polska przeanalizowali złośliwe oprogramowanie i dostarczyli informacji o zasadach jego funkcjonowania. Równocześnie przekazali dane telemetryczne dotyczące istniejących wirusów, a także uczestniczyli w konsultacjach w sprawie kierunku prowadzonych działań.
– Największym niebezpieczeństwem związanym z funkcjonowanie Dorkbota było wykorzystywanie go jako platformy do dystrybucji innych cyberzagrożeń – mówi Piotr Kijewski, kierownik CERT Polska.
– Oszacowanie rzeczywistej liczby zainfekowanych komputerów będzie możliwe po dokonaniu szczegółowej analizy całego zagrożenia, ale według wstępnych szacunków skala infekcji w Polsce nie była znacząca. Mimo to, biorąc udział w takim przedsięwzięciu, przyczyniliśmy się do poprawy bezpieczeństwa wszystkich Internautów i zapobiegliśmy ewentualnym przyszłym atakom na polskich użytkowników sieci – podkreśla Piotr Kijewski