Skupina pro analýzu hrozeb (TAG) společnosti Google narušila botnet s podporou blockchainu známý jako Glupteba, který se skládá z přibližně 1 milionu napadených zařízení Windows a internetu věcí (IoT). Jedinečné schéma zálohování malwaru s podporou blockchainu ztěžuje úplné odstranění. Společnost Google zároveň podala žalobu na provozovatele botnetu.
Glupteba podle TAG roste tempem tisíců nových zařízení denně. Šíří se prostřednictvím falešného pirátského softwaru, falešných videí na YouTube, škodlivých dokumentů, systémů distribuce provozu a dalších, uvedli výzkumníci. Po instalaci se pustí do krádeže přihlašovacích údajů a dat uživatelů, těžby kryptoměn na infikovaných hostitelích a nastavování proxy pro odvádění dalšího internetového provozu přes infikované stroje a routery.
„Kdykoli by mohla být síla botnetu Glupteba využita k použití silného ransomwaru nebo distribuovaného útoku typu denial-of-service (DDoS),“ poznamenal Google ve své žalobě.
Provozovatelé botnetu také nabízejí řadu kyberzločinů jako služby.
“Během analýzy binárních souborů Glupteba náš tým identifikoval několik obsahujících adresu URL úložiště git: git.voltronwork[tečka] com,“ vysvětlili výzkumníci. „Toto zjištění podnítilo vyšetřování, které nás vedlo k tomu, abychom s vysokou spolehlivostí identifikovali různé online služby nabízené jednotlivci provozujícími botnet Glupteba. Tyto služby zahrnují prodej přístupu k virtuálním strojům s odcizenými přihlašovacími údaji (dont[.]farma), proxy přístup (awmproxy) a prodej čísel kreditních karet (extracard) k použití pro jiné škodlivé činnosti, jako je zobrazování škodlivých reklam a platební podvody v Google Ads.“
Aby TAG ubránil bestii, narušil „klíčovou infrastrukturu velení a řízení, takže ti, kdo provozují Gluptebu, by již neměli mít kontrolu nad svými botnety – prozatím,“ uvedli viceprezident skupiny pro bezpečnost Royal Hansen a generální právní zástupce Halimah DeLaine Prado.
Operace zahrnovala ukončení 63 milionů dokumentů Google používaných k distribuci Glupteba, 1 313 účtů Google, 908 cloudových projektů a 870 účtů Google Ads; a ve spolupráci s CloudFlare a dalšími, odstranění serverů a umístění varovných vsunutých stránek před škodlivé domény.
Hansen a Prado však uznali, že „používání technologie blockchain společností Glupteba jako mechanismu odolnosti je zde pozoruhodné… decentralizovaná povaha blockchainu umožňuje botnetu rychleji se zotavit z přerušení, takže je mnohem těžší jej vypnout.“
V samostatném příspěvku výzkumníci TAG dodali, že „provozovatelé Glupteba se pravděpodobně pokusí znovu získat kontrolu nad botnetem pomocí záložního mechanismu příkazů a řízení, který využívá data zakódovaná na blockchainu Bitcoinu.“
Konkrétně C2 používá HTTPS ke komunikaci s infikovanými zařízeními; pokud je však z nějakého důvodu komunikace narušena, infikované systémy mohou získat záložní domény zašifrované v poslední transakci z různých adres bitcoinových peněženek.
Jak ukázala zastavení provozu Emotet a TrickBot, tyto typy sítí mají tendenci se týdny nebo měsíce po provedení technických opatření znovu oživit. Takže jako další vrstvu narušení Google také podal žalobu v jižním okrese New Yorku proti ruským státním příslušníkům Dmitriji Starovikovovi a Alexandru Filippovovi.
Ti dva jsou žalováni za počítačové podvody a zneužití, porušení ochranné známky, porušení Zákona o organizacích ovlivněných vydíráním (RICO), protiprávní zasahování do obchodních vztahů, bezdůvodné obohacení a další obvinění.
„Náš soudní spor byl podán proti provozovatelům botnetu, o kterých se domníváme, že sídlí v Rusku,“ napsali Hansen a Prado. „Také jsme podali dočasný omezující příkaz, abychom posílili naše úsilí o technické narušení. Pokud bude tato akce úspěšná, vytvoří pro operátory skutečnou právní odpovědnost.“
Zdroj: threatpost.com
Zdroj: IT SECURITY NETWORK NEWS
Zdroj: ICT NETWORK NEWS
