Το Google TAG διακόπτει τη λειτουργία Botnet Glupteba

Η Ομάδα Ανάλυσης Απειλών της Google ανακοίνωσε την επιτυχή διακοπή του διαβόητου botnet Glupteba αυτή την εβδομάδα. Το botnet εγκαθιστούσε κακόβουλο λογισμικό εξόρυξης κρυπτογράφησης σε συστήματα θυμάτων και φέρεται να είχε εξαπλωθεί σε περίπου 1 εκατομμύριο μολυσμένους κεντρικούς υπολογιστές, συμπεριλαμβανομένων τόσο συσκευών Internet of things όσο και υπολογιστών που βασίζονται σε Windows.

Σύμφωνα με την αναφορά TAG της Google, η διακοπή θα προκαλέσει σημαντικά ζητήματα και θα αφήσει τους χειριστές του Glupteba να μην έχουν πρόσβαση σε κρίσιμη υποδομή διοίκησης και ελέγχου, θέτοντας ουσιαστικά το botnet εκτός πρόσβασης. Ωστόσο, η ερευνητική ομάδα ασφάλειας της Google δήλωσε επίσης ότι αναμένεται ότι οι χειριστές Glupteba έχουν επίσης έναν τρόπο να επαναφέρουν και να καταφύγουν σε δευτερεύουσα υποδομή C2 χρησιμοποιώντας δεδομένα που διατηρούνται στο blockchain του Bitcoin.

Τι είναι το Glupteba;

Το Glupteba ήταν γνωστό ότι χρησιμοποιεί ποικίλους φορείς επίθεσης για να μολύνει συστήματα στόχων. Αυτές οι μέθοδοι επίθεσης κυμαίνονταν από τη χρήση κακόβουλων εγγράφων έως την απόκρυψη σε "ρωγμές" για πειρατικό λογισμικό και εφαρμογές. Το κακόβουλο λογισμικό Glupteba μπόρεσε επίσης να εξορύξει αθόρυβα κρυπτονομίσματα στο σύστημα του θύματος μέσω της αποκλειστικής του ενότητας, καθώς και να διεγείρει διαπιστευτήρια σύνδεσης και αρχεία από τις μονάδες δίσκου του θύματος, καθιστώντας το μια τρομερή κακόβουλη εργαλειοθήκη.

Η ανακάλυψη μιας ενιαίας διεύθυνσης URL αποθετηρίου git στον κώδικα ενός δυαδικού αρχείου Glupteba που υπόκειται σε αντίστροφη μηχανική και εξέταση έβαλε τους ερευνητές στο μονοπάτι που οδήγησε στην τελική διακοπή του botnet.

Κατάργηση botnet σε μια τεράστια σάρωση

Μόλις ενημερώθηκε από το URL, η ερευνητική ομάδα κατάφερε να κλείσει τελικά μια σειρά διαδικτυακών υπηρεσιών που ανήκαν στους χειριστές της Glupteba. Οι εν λόγω υπηρεσίες χρησιμοποιήθηκαν για την πώληση κλεμμένων διαπιστευτηρίων καθώς και κλεμμένων στοιχείων πιστωτικών καρτών. Οι μέθοδοι πληρωμής που παραβιάστηκαν χρησιμοποιήθηκαν επίσης για κακόβουλους σκοπούς, με κακούς παράγοντες να πληρώνουν παράνομα για κακόβουλες διαφημιστικές καμπάνιες ή να πραγματοποιούν δόλιες πληρωμές στο Google Ads. Κατά τη διάρκεια της σάρωσης για την κατάργηση της υποδομής C2 του botnet, η ομάδα της Google συνεργάστηκε με το CloudFlare για την κατάργηση διακομιστών και την τοποθέτηση προειδοποιητικών μηνυμάτων που φορτώνονται προτού το σύστημα μπορέσει να αποκτήσει πρόσβαση σε έναν κακόβουλο τομέα. Επιπλέον, κλείστηκαν σχεδόν 900 λογαριασμοί Google Ads, καθώς και περισσότερα από 900 έργα cloud και πάνω από 1300 λογαριασμοί Google.