グーグルは悪名高いGluptebaボットネットをダウンさせます
GoogleのTAG、または技術大手の脅威分析グループは、悪名高いGluptebaボットネットの活動を妨害したと発表しました。 Gluptebaは複雑なマルウェアネットワークであり、他の機能に加えて暗号マイニングマルウェアも使用しています。
推定によると、削除の時点で、Gluptebaボットネットは、Windowsを実行しているコンピューターとモノのインターネットデバイスの両方を含む、約100万の侵害されたデバイスにまたがっていました。
Gluptebaは、多数のベクトルとアプローチを使用して、新しいデバイスを拡散および感染させました。それらは、悪意のあるコードを含む偽の海賊版ソフトウェアから悪意のあるドキュメント、さらには偽のYouTubeビデオリンクにまで及びました。 Gluptebaマルウェアは、展開されると、ログインクレデンシャルやファイルの漏えい、暗号マイニング機能など、悪意のあるユーザーが操作しているものに多数の機能を提供します。マルウェアは、外部トラフィックの再ルーティングを可能にするプロキシを設定して、感染したシステムやデバイスを通過させ、マルウェアをさらに伝播させることもできます。
研究チームは、Gluptebaのバイナリを分析する専門家がgitリポジトリのURLを見つけた後、重要なGluptebaインフラストラクチャを停止することに成功しました。この発見により、彼らは最終的にボットネットのオペレーターによって実行されていたさまざまなオンラインサービスを特定できるようになりました。これらには、盗まれたクレデンシャルの再販や、後で悪意のある広告の配信など、さらに悪意のある目的で使用される盗まれたクレジットカードの販売を目的としたサービスが含まれていました。
GoogleのTAGによると、セキュリティチームは最終的に、ボットネットのコマンドアンドコントロールインフラストラクチャを中断して、少なくとも「今のところ」、オペレーターがボットネットを実行または制御できないようにすることができました。
操作の範囲とそれに伴うスイープを理解するために、研究者は、CloudFlareや他のプロバイダーと共同で実行された1300を超えるGoogleアカウント、驚異的な800以上のGoogle広告アカウント、および複数のサーバーの削除が含まれていることを詳しく説明しました。
この勝利にもかかわらず、Googleの研究者は、ボットネットを操作している悪意のある人物が、ブロックチェーンに保存されているデータを使用して、迅速な復帰を試みる可能性があると警告しました。