Google TAG zakłóca działanie botnetu Glupteba
Grupa Analizy Zagrożeń Google ogłosiła w tym tygodniu udane zakłócenie działania osławionego botnetu Glupteba. Botnet niesławnie instalował złośliwe oprogramowanie do wydobywania kryptowalut w systemach ofiar i podobno rozprzestrzenił się na około milion zainfekowanych hostów, w tym zarówno na urządzenia Internetu rzeczy, jak i na komputery z systemem Windows.
Według raportu Google'a TAG, zakłócenie spowoduje znaczne problemy i uniemożliwi operatorom Glupteby dostęp do krytycznej infrastruktury dowodzenia i kontroli, skutecznie stawiając botnet poza ich zasięgiem. Jednak zespół badawczy Google stwierdził również, że oczekuje się, że operatorzy Glupteba mają również sposób na przywrócenie i skorzystanie z wtórnej infrastruktury C2 przy użyciu danych przechowywanych w łańcuchu bloków Bitcoin.
Co to jest Glupteba?
Glupteba był znany z wykorzystywania różnych wektorów ataku do infekowania systemów docelowych. Te metody ataków obejmowały wykorzystywanie złośliwych dokumentów po ukrywanie się w „łamaniach” pirackiego oprogramowania i aplikacji. Złośliwe oprogramowanie Glupteba było również w stanie po cichu wydobywać kryptowalutę w systemie ofiary za pomocą dedykowanego modułu, a także wydobywać dane logowania i pliki z dysków ofiary, czyniąc z niego potężny zestaw złośliwych narzędzi.
Odkrycie pojedynczego adresu URL repozytorium git w kodzie pliku binarnego Glupteba, który został poddany inżynierii wstecznej i zbadany, skierowało badaczy na trop, który doprowadził do ostatecznego zakłócenia działania botnetu.
Masowe usunięcie botnetu
Po wskazaniu adresu URL zespołowi badawczemu udało się ostatecznie zamknąć szereg usług internetowych należących do operatorów Glupteba. Przedmiotowe usługi były wykorzystywane do sprzedaży skradzionych danych uwierzytelniających oraz skradzionych danych karty kredytowej. Przejęte metody płatności były również wykorzystywane do złośliwych celów, a źli aktorzy płacili nielegalnie za złośliwe kampanie reklamowe lub dokonywali nieuczciwych płatności w Google Ads. Podczas próby usunięcia infrastruktury C2 botnetu zespół Google współpracował z CloudFlare, aby wyłączyć serwery i umieścić komunikaty ostrzegawcze, które ładują się, zanim system uzyska dostęp do złośliwej domeny. Dodatkowo zamknięto blisko 900 kont Google Ads, ponad 900 projektów w chmurze i ponad 1300 kont Google.
