Google likwiduje niesławny botnet Glupteba
Google TAG lub Threat Analysis Group giganta technologicznego ogłosiło, że zakłóciło działalność niesławnego botnetu Glupteba. Glupteba to złożona sieć złośliwego oprogramowania, która oprócz innych możliwości wykorzystuje również złośliwe oprogramowanie do wydobywania kryptowalut.
Według szacunków w momencie usunięcia botnet Glupteba obejmował około miliona zhakowanych urządzeń, w tym zarówno komputery z systemem Windows, jak i urządzenia Internetu rzeczy.
Glupteba wykorzystał wiele wektorów i podejść do rozprzestrzeniania się i infekowania nowych urządzeń. Obejmowały one od fałszywego pirackiego oprogramowania zawierającego złośliwy kod do złośliwych dokumentów, a nawet fałszywych linków wideo na YouTube. Po wdrożeniu, złośliwe oprogramowanie Glupteba oferuje szereg funkcji każdej złej stronie, która go obsługuje, w tym eksfiltrację danych logowania i plików, a także możliwości wydobywania kryptowalut. Złośliwe oprogramowanie może również skonfigurować serwery proxy, aby umożliwić przekierowywanie ruchu zewnętrznego, dzięki czemu przechodzi on przez zainfekowane systemy i urządzenia, a tym samym rozprzestrzenia się dalej złośliwe oprogramowanie.
Zespołowi badawczemu udało się usunąć niezbędną infrastrukturę Glupteba po tym, jak eksperci analizujący pliki binarne Glupteby zauważyli adres URL repozytorium git. To odkrycie poprowadziło ich na ścieżkę, która ostatecznie pozwoliła im zidentyfikować szereg różnych usług online, które były obsługiwane przez operatorów botnetu. Obejmowały one usługi mające na celu odsprzedawanie skradzionych danych uwierzytelniających i sprzedaż skradzionych kart kredytowych, które miały być później wykorzystywane do dalszych złośliwych celów, na przykład wyświetlania złośliwych reklam.
Według Google TAG, zespoły ds. bezpieczeństwa ostatecznie były w stanie zakłócić infrastrukturę dowodzenia i kontroli botnetu do punktu, w którym operatorzy nie powinni być w stanie uruchomić ani kontrolować botnetu, przynajmniej „na razie”.
Aby zorientować się, jaki jest zakres operacji i jaka była z nią akcja, badacze wyszczególnili, że usunięcie obejmowało ponad 1300 kont Google, oszałamiające ponad 800 kont Google Ads oraz wiele usuniętych serwerów, wykonanych wspólnie z CloudFlare i innymi dostawcami.
Pomimo tego zwycięstwa badacze Google ostrzegali, że źli aktorzy obsługujący botnet mogą spróbować szybkiego powrotu, wykorzystując dane przechowywane w łańcuchu bloków.
