A Google lerombolja a hírhedt Glupteba botnetet
A Google TAG, vagyis a technológiai óriás Threat Analysis Groupja bejelentette, hogy megzavarta a hírhedt Glupteba botnet tevékenységét. A Glupteba egy összetett rosszindulatú programhálózat, amely egyéb képességei mellett kriptobányász kártevőket is alkalmaz.
Becslések szerint az eltávolítás idején a Glupteba botnet nagyjából egymillió feltört eszközt ölelt fel, beleértve a Windows rendszert futtató számítógépeket és a tárgyak internetes eszközeit.
A Glupteba számos vektort és megközelítést alkalmazott az új eszközök terjesztésére és megfertőzésére. Ezek a rosszindulatú kódot tartalmazó hamis kalózszoftverektől a rosszindulatú dokumentumokon át a hamis YouTube-videólinkekig terjedtek. A telepítést követően a Glupteba kártevő számos funkciót kínál bármely rossz fél számára, amely üzemelteti, beleértve a bejelentkezési adatok és fájlok kiszűrését, valamint a kriptográfiai bányászati lehetőségeket. A rosszindulatú program proxykat is beállíthat, hogy lehetővé tegye a külső forgalom átirányítását, áthaladva a fertőzött rendszereken és eszközökön, így tovább terjesztve a kártevőt.
A kutatócsoportnak sikerült eltávolítania az alapvető Glupteba infrastruktúrát, miután a Glupteba binárisait boncolgató szakértők egy git adattár URL-t észleltek. Ez a felfedezés arra az útra vezette őket, amely végül lehetővé tette számukra, hogy azonosítsanak számos különféle online szolgáltatást, amelyeket a botnet üzemeltetői üzemeltettek. Ezek közé tartoztak az ellopott hitelesítő adatok továbbértékesítésére és az ellopott hitelkártyák értékesítésére irányuló szolgáltatások, amelyeket később további rosszindulatú célokra, például rosszindulatú hirdetések kiszolgálására használnak fel.
A Google TAG-je szerint a biztonsági csapatok végül olyan mértékben tudták megzavarni a botnet irányítási és vezérlési infrastruktúráját, hogy az üzemeltetőknek nem kellene tudniuk futtatni vagy irányítani a botnetet, legalábbis "egyelőre".
Annak érdekében, hogy megértsék a művelet hatókörét és az azzal járó söprést, a kutatók részletezték, hogy az eltávolítás több mint 1300 Google-fiókot, több mint 800 Google Ads-fiókot és több szerver-leállítást tartalmazott, amelyeket a CloudFlare-rel és más szolgáltatókkal közösen hajtottak végre.
A győzelem ellenére a Google kutatói arra figyelmeztettek, hogy a botnetet üzemeltető rossz szereplők gyors visszatérést kísérelhetnek meg a blokkláncban tárolt adatok felhasználásával.