„Google TAG“ sutrikdo „Glupteba“ robotų tinklo veikimą
„Google“ grėsmių analizės grupė šią savaitę paskelbė apie sėkmingą liūdnai pagarsėjusio „Glupteba“ botneto sutrikimą. Botnetas liūdnai diegė kriptovaliutų kasybos kenkėjiškas programas aukų sistemose ir, kaip pranešama, išplito maždaug 1 milijonui užkrėstų kompiuterių, įskaitant daiktų interneto įrenginius ir kompiuterius su Windows.
Remiantis „Google“ TAG ataskaita, sutrikimas sukels didelių problemų ir „Glupteba“ operatoriai negalės pasiekti kritinės komandų ir valdymo infrastruktūros, todėl robotų tinklas bus nepasiekiamas. Tačiau „Google“ saugumo tyrimų komanda taip pat pareiškė, kad tikimasi, kad „Glupteba“ operatoriai taip pat turės būdą atkurti ir panaudoti antrinę C2 infrastruktūrą, naudodami duomenis, saugomus „Bitcoin“ blokų grandinėje.
Kas yra Glupteba?
Buvo žinoma, kad Glupteba naudojo įvairius atakų vektorius, kad užkrėstų tikslines sistemas. Šie atakos būdai svyravo nuo kenkėjiškų dokumentų naudojimo iki slėpimosi piratinės programinės įrangos ir taikomųjų programų „plyšiuose“. Kenkėjiška programa Glupteba taip pat galėjo tyliai išgauti kriptovaliutą aukos sistemoje per tam skirtą modulį, taip pat išfiltruoti prisijungimo duomenis ir failus iš aukos diskų, todėl tai buvo didžiulis kenkėjiškų priemonių rinkinys.
Vieno „git“ saugyklos URL atradimas „Glupteba“ dvejetainio kodo, kuris buvo apgręžtas ir ištirtas, kode, paskatino tyrėjus rasti kelią, dėl kurio galiausiai sutriko robotų tinklo veikla.
Botneto panaikinimas masiniu būdu
Kai tik sužinojo URL, tyrimų komanda sugebėjo uždaryti daugybę internetinių paslaugų, priklausančių Glupteba operatoriams. Aptariamos paslaugos buvo naudojamos parduodant pavogtus kredencialus ir pavogtą kredito kortelės informaciją. Užgrobti mokėjimo būdai taip pat buvo naudojami piktybiniais tikslais, o blogi veikėjai nelegaliai mokėjo už kenkėjiškas reklamos kampanijas arba apgaulingai mokėjo sistemoje „Google Ads“. Atliekant „botnet“ C2 infrastruktūros pašalinimą, „Google“ komanda dirbo kartu su „CloudFlare“, kad pašalintų serverius ir patalpintų įspėjamuosius pranešimus, kurie įkeliami prieš sistemai pasiekiant kenkėjišką domeną. Be to, buvo uždaryta beveik 900 „Google Ads“ paskyrų, taip pat daugiau nei 900 debesies projektų ir daugiau nei 1 300 „Google“ paskyrų.
