Google TAG forstyrrer driften av Glupteba Botnet
Googles Threat Analysis Group kunngjorde den vellykkede forstyrrelsen av det beryktede Glupteba-botnettet denne uken. Botnettet installerte beryktet crypto-mining malware på offersystemer og hadde angivelig spredt seg til rundt 1 million infiserte verter, inkludert både Internet of things-enheter så vel som Windows-baserte datamaskiner.
I følge Googles TAG-rapport vil forstyrrelsen forårsake betydelige problemer og la operatørene av Glupteba ikke få tilgang til kritisk kommando- og kontrollinfrastruktur, noe som effektivt setter botnettet utenfor deres rekkevidde. Googles sikkerhetsforskningsteam uttalte imidlertid også at det forventes at Glupteba-operatørene også har en måte å gjenopprette og ty til sekundær C2-infrastruktur ved å bruke data som lagres i Bitcoin-blokkjeden.
Hva er Glupteba?
Glupteba var kjent for å bruke varierte angrepsvektorer for å infisere målsystemer. Disse angrepsmetodene varierte fra bruk av ondsinnede dokumenter til å gjemme seg i "sprekker" for piratkopiert programvare og applikasjoner. Den skadelige programvaren Glupteba var også i stand til stille å utvinne kryptovaluta på offerets system gjennom sin dedikerte modul, i tillegg til å eksfiltrere påloggingsinformasjon og filer fra offerets stasjoner, noe som gjorde det til et formidabelt ondsinnet verktøysett.
Oppdagelsen av en enkelt git-depot-URL i koden til en Glupteba-binær som ble reversert og undersøkt, satte forskere på sporet som førte til den eventuelle forstyrrelsen av botnettet.
Fjerning av botnett i en massiv fei
Etter å ha blitt tipset av URL-en, klarte forskerteamet til slutt å stenge ned en rekke nettjenester som tilhører Gluptebas operatører. De aktuelle tjenestene ble brukt til å selge stjålet legitimasjon samt stjålet kredittkortinformasjon. De kaprede betalingsmetodene ble også brukt til ondsinnede formål, med dårlige skuespillere som betalte ulovlig for ondsinnede annonsekampanjer eller foretok falske betalinger på Google Ads. Under sveipet for å ta ned botnettets C2-infrastruktur, jobbet Googles team sammen med CloudFlare for å ta ned servere og plassere advarselsmeldinger som lastes inn før et system kan få tilgang til et ondsinnet domene. I tillegg ble nesten 900 Google Ads-kontoer stengt, i tillegg til over 900 skyprosjekter og over 1300 Google-kontoer.