A Google TAG megzavarja a Glupteba Botnet működését
A Google Fenyegetéselemző Csoportja a héten bejelentette a hírhedt Glupteba botnet sikeres megszakítását. A botnet hírhedten kriptobányász kártevőket telepített az áldozatrendszerekre, és a hírek szerint körülbelül 1 millió fertőzött gazdagépre terjedt el, beleértve a tárgyak internetes eszközeit és a Windows-alapú számítógépeket.
A Google TAG jelentése szerint a fennakadás jelentős problémákat fog okozni, és a Glupteba üzemeltetőit nem fogja tudni hozzáférni a kritikus irányítási és vezérlési infrastruktúrához, így a botnet gyakorlatilag elérhetetlenné válik. A Google biztonsági kutatócsoportja azonban azt is kijelentette, hogy várhatóan a Glupteba üzemeltetőinek is van módjuk visszaállítani és igénybe venni a másodlagos C2 infrastruktúrát a Bitcoin blokkláncában tárolt adatok felhasználásával.
Mi az a Glupteba?
A Gluptebáról ismert volt, hogy különféle támadási vektorokat használt a célrendszerek megfertőzésére. Ezek a támadási módszerek a rosszindulatú dokumentumok használatától a kalózszoftverek és -alkalmazások „repedéseiben” való elrejtésig terjedtek. A Glupteba kártevő képes volt csendesen bányászni a kriptovalutát az áldozat rendszerén a dedikált modulján keresztül, valamint kiszűrni a bejelentkezési adatokat és fájlokat az áldozat meghajtóiról, így egy félelmetes rosszindulatú eszköztár lett.
Egyetlen git adattár URL-jének felfedezése egy folyamatban lévő Glupteba bináris kódjában, amelyet visszafejtettek és vizsgáltak, a kutatókat a botnet esetleges megszakadásához vezető nyomra állította.
Botnet eltávolítása egy hatalmas söpréssel
Miután az URL tudomást szerzett, a kutatócsoportnak végül sikerült leállítania a Glupteba üzemeltetőihez tartozó online szolgáltatást. A szóban forgó szolgáltatásokat ellopott hitelesítő adatok, valamint ellopott hitelkártyaadatok értékesítésére használták. Az eltérített fizetési módokat rosszindulatú célokra is használták, a rossz szereplők illegálisan fizettek rosszindulatú hirdetési kampányokért, vagy csaló fizetéseket hajtottak végre a Google Ads szolgáltatásban. A botnet C2 infrastruktúrájának lebontása során a Google csapata a CloudFlare-rel együttműködve eltávolította a szervereket, és figyelmeztető üzeneteket helyez el, amelyek betöltődnek, mielőtt a rendszer hozzáférne egy rosszindulatú domainhez. Ezenkívül közel 900 Google Ads-fiókot, valamint több mint 900 felhőprojektet és több mint 1300 Google-fiókot zártak le.