¿Cómo los investigadores "obtienen el control de una PC atacante" y no se consideran a sí mismos atacantes / delincuentes?

El servidor C6C suele ser un servidor pirateado , no servidores alquilados por el atacante.

Contratos de soporte de seguridad

Para las organizaciones públicas, a menudo hay CERT (equipo de respuesta ante emergencias informáticas) responsables de ellas. Por ejemplo, existe el Certificado DFN para todas las universidades de Alemania. Las grandes empresas tienden a tener contratos de soporte con empresas especializadas en seguridad.

Entonces, después de que se note la violación de la seguridad, el servidor puede ser entregado a la organización de seguridad para realizar actividades forenses : conozca cómo entró el atacante, intente estimar qué daño causó, para a qué datos tuvieron acceso, etc. Saber el daño lo mejor posible, puede ser especialmente importante para defenderse contra la demanda de los clientes.

Este es el caso más común. La redacción es muy similar a lo que dijo nuestro CERT cuando una universidad le entregó un servidor C & C hace un tiempo: "El CERT obtuvo acceso a un servidor de comando y control que recopilaba una lista de direcciones web, nombres de usuario y contraseñas. el dominio de las siguientes entradas está bajo su responsabilidad, informe a sus usuarios con los siguientes nombres de cuenta que su computadora está infectada ".

Obviamente, las organizaciones de seguridad deben evitar llamar la atención sobre sus clientes porque implica que el cliente fue atacado con éxito.

Otros medios

El C & C podría haber sido un honeypot , un servidor dedicado a ser atacado. Creo que esto es poco probable porque se dice que el servidor c & c estuvo activo durante años.

Puede que haya habido una orden judicial para confiscar el servidor. Pero si ese fuera el caso y se llamara a la compañía de seguridad como testigo experto , probablemente no se les permitiría obtener el público.

Es posible que la empresa de seguridad haya obtenido acceso no autorizado. Considero que esto es extremadamente improbable debido al gran riesgo legal que implica.

tl; dr

La empresa. que alojó de mala gana el C & C. muy probablemente lo entregó a sus asesores de seguridad para la evaluación de daños.

Ahora que todos estamos de acuerdo, todos estamos especulando ...

Ha habido una tendencia pequeña pero significativa en la que la intrusión de whitehat en o sobre una infraestructura claramente maliciosa se ha tratado como permisible, necesariamente conveniente, o, uh, "puede verse de otra manera".

Lo vimos hace varios meses cuando el gobierno de los EE. UU. tomó el control de varios nombres de dominio. Soy consciente de un par de incidentes en los que profesionales de seguridad respetables comenzaron a jugar who-controls-the-botnet-now con botnets maliciosos activos. Por lo tanto, me siento cómodo al especular que McAfee hizo acceso no autorizado a un nodo C & C como parte de su investigación en una red de bots. No tengo datos duros ni pruebas; esto es pura especulación.

Podrías tener una discusión ética realmente fascinante al respecto:

• Los atacantes no tienen compunciones; un defensor que ata sus propias manos se encuentra en clara desventaja.
• Los servidores en disputa a menudo son propiedad de un tercero que podría ser criminalmente negligente; ¿Esa negligencia erosiona sus derechos?
• Los servidores en disputa son el equivalente en Internet de un perro rabioso, e IRL, la ley sanciona el sacrificio de un animal peligroso, ¿no?

Especulo que en el caso de Shady RAT, alguien decidió ir a por ello, y la recompensa fue más allá de lo que cualquiera podría haber esperado. (¿Regresa al 2006? ¿De verdad?)

La declaración oficial dice: "McAfee ha obtenido acceso a un servidor de control y comando específico utilizado por los intrusos". Parecería extremadamente probable que alguien con acceso al servidor de C & C tomara en la foto para su análisis, considerando las implicaciones que la alternativa (McAfee convirtiéndose en un sombrero negro) tendría para su compañía. Si toma eso como una teoría de trabajo, entonces necesita preguntarse por qué no se mencionó esa relación, tal como lo hizo.

Una respuesta probable es que esas personas le pidieron ayuda a McAfee como parte de una investigación oficial. Si ese fuera el caso, entonces tenemos a McAfee acusando a China de ataques APT patrocinados por el estado basados en otro estado que les proporciona los datos. La parte 'avanzada' de esta APT incluye un solo servidor que se ejecuta durante cinco años sin borrar los registros incriminatorios.

Su pregunta es excepcional. Perdón por solo proporcionar especulación, pero supongo que todo lo que estará disponible en el corto plazo.