Google TAG forstyrrer driften af Glupteba Botnet
Googles Threat Analysis Group annoncerede den vellykkede afbrydelse af det berygtede Glupteba-botnet i denne uge. Botnettet installerede berygtet crypto-mining malware på offersystemer og havde efter sigende spredt sig til omkring 1 million inficerede værter, inklusive både Internet of things-enheder såvel som Windows-baserede computere.
Ifølge Googles TAG-rapport vil afbrydelsen forårsage betydelige problemer og efterlade operatørerne af Glupteba ude af stand til at få adgang til kritisk kommando- og kontrolinfrastruktur, hvilket effektivt vil sætte botnettet uden for deres rækkevidde. Googles sikkerhedsforskningsteam udtalte dog også, at det forventes, at Glupteba-operatørerne også har en måde at gendanne og ty til sekundær C2-infrastruktur ved at bruge data, der opbevares i Bitcoin blockchain.
Hvad er Glupteba?
Glupteba var kendt for at bruge forskellige angrebsvektorer til at inficere målsystemer. Disse angrebsmetoder spændte fra at bruge ondsindede dokumenter til at gemme sig i "revner" for piratkopieret software og applikationer. Glupteba-malwaren var også i stand til stille og roligt at mine kryptovaluta på ofrets system gennem dets dedikerede modul, samt udskille login-legitimationsoplysninger og filer fra offerets drev, hvilket gør det til et formidabelt ondsindet værktøjssæt.
Opdagelsen af en enkelt git-repository-URL i koden til en Glupteba-binær, der blev reverse engineering og undersøgt, satte forskere på sporet, der førte til den eventuelle afbrydelse af botnettet.
Botnet-nedtagning i et massivt feje
Efter at have tippet af URL'en, lykkedes det forskerholdet til sidst at lukke en række onlinetjenester, der tilhører Gluptebas operatører. De pågældende tjenester blev brugt til at sælge stjålne legitimationsoplysninger samt stjålne kreditkortoplysninger. De kaprede betalingsmetoder blev også brugt til ondsindede formål, hvor dårlige skuespillere betalte ulovligt for ondsindede annoncekampagner eller foretog svigagtige betalinger på Google Ads. Under gennemgangen for at fjerne botnettets C2-infrastruktur arbejdede Googles team sammen med CloudFlare om at fjerne servere og placere advarselsmeddelelser, der indlæses, før et system kan få adgang til et ondsindet domæne. Derudover blev næsten 900 Google Ads-konti lukket, såvel som over 900 cloud-projekter og over 1300 Google-konti.