In che modo i ricercatori "acquisiscono il controllo di un PC attaccante" e non sono considerati attaccanti / criminali?

I server C6C sono spesso server che sono stati compromessi , non server noleggiati dall'hacker.

Contratti di supporto per la sicurezza

Per le organizzazioni pubbliche ci sono spesso CERT (team di risposta alle emergenze informatiche) responsabili per loro. Ad esempio c'è il certificato DFN per tutte le università tedesche. Le grandi aziende tendono ad avere contratti di supporto con società specializzate in sicurezza.

Quindi, dopo che la violazione della sicurezza è stata notata, il server può essere consegnato all'organizzazione di sicurezza per fare forense : scopri come è arrivato l'attaccante, prova a stimare quale danno hanno causato, a quali dati hanno avuto accesso, ecc. Conoscere il danno nel miglior modo possibile, può essere particolarmente importante per difendersi dall'essere citato in giudizio dai clienti.

Questo è il caso più comune. La formulazione è molto simile a quello che il nostro CERT ha detto quando hanno ottenuto un server C & C da un'università qualche tempo fa: "Il CERT ha ottenuto l'accesso a un server di comando e controllo che ha raccolto un elenco di indirizzi web, nomi utente e password. il dominio delle seguenti voci è sotto la tua responsabilità per favore informa i tuoi utenti con i seguenti nomi di account che il loro computer è infetto ".

Ovviamente le organizzazioni per la sicurezza devono evitare di attirare l'attenzione sui loro clienti perché implica che il cliente sia stato attaccato con successo.

Altri mezzi

Il C & C potrebbe essere stato un honeypot , un server dedicato ad essere attaccato. Penso che sia improbabile perché si dice che il server c & c era attivo da anni.

Poteva esserci un ordine del tribunale di sequestrare il server. Ma se fosse così e la compagnia di sicurezza è stata chiamata come expert witness , probabilmente non gli sarebbe stato permesso di ottenere il pubblico.

La compagnia di sicurezza potrebbe aver ottenuto l'accesso non autorizzato. Lo considero estremamente improbabile a causa dell'enorme rischio legale coinvolto.

tl; dr

La compagnia. che ospitava malvolentieri il C & C. molto probabilmente l'ha consegnato ai consulenti di sicurezza per la valutazione dei danni.

Ora che siamo tutti d'accordo, stiamo tutti speculando ...

C'è stata una piccola ma significativa tendenza in cui l'intrusione di whitehat in o su un'infrastruttura chiaramente malevola è stata trattata come ammissibile, necessariamente utile, o - uh - "in cerca di altro modo".

L'abbiamo visto diversi mesi fa quando il governo degli Stati Uniti ha preso il controllo di vari nomi di dominio. Sono a conoscenza di un paio di incidenti in cui i professionisti della sicurezza di tutto rispetto hanno iniziato a giocare a who-controls-the-botnet ora con botnet malevoli attivi. Quindi sono a mio agio nel ipotizzare che McAfee abbia effettuato un accesso non autorizzato a un nodo C & C come parte della loro indagine su una botnet. Non ho dati o prove dure; questa è pura speculazione.

Potresti avere una discussione etica davvero affascinante a riguardo:

• Gli aggressori non hanno alcuna compunzione; un difensore che lega le proprie mani è in netto svantaggio.
• I server contestati sono spesso di proprietà di una terza parte che è probabilmente penalmente negligente; questa negligenza erode i loro diritti?
• I server contestati sono l'equivalente di Internet di un cane rabbioso, e IRL, la legge sanziona l'uccisione di un animale pericoloso, vero?

Immagino che nel caso di Shady RAT qualcuno abbia deciso di farlo, e che il guadagno fosse al di là di quello che chiunque avrebbe potuto sperare. (Torna al 2006? Davvero?)

La dichiarazione ufficiale dice: "McAfee ha ottenuto l'accesso a uno specifico server Command & Control utilizzato dagli intrusi". Sembrerebbe estremamente probabile che siano stati portati nella foto per l'analisi da qualcuno con accesso al server C & C considerando le implicazioni che l'alternativa (McAfee che gira cappello nero) avrebbe per la loro compagnia. Se la consideri una teoria funzionante, devi mettere in discussione perché questa relazione non sia stata menzionata, proprio come hai fatto tu.

Una risposta probabile è che coloro che hanno chiesto assistenza a McAfee nell'ambito di un'indagine ufficiale. Se così fosse, abbiamo McAfee che accusa la Cina di attacchi APT sponsorizzati dallo stato in base a un altro stato che fornisce loro i dati. La parte 'avanzata' di questo APT include un singolo server in esecuzione per cinque anni senza cancellare i log incriminanti.

La tua domanda è eccezionale. Spiacente di fornire solo speculazioni, ma la mia ipotesi è che tutto ciò sarà disponibile per il breve termine.