Google TAG нарушает работу ботнета Glupteba
Группа анализа угроз Google объявила об успешном отключении пресловутого ботнета Glupteba на этой неделе. Ботнет, как известно, устанавливал вредоносное ПО для майнинга криптовалют на системы-жертвы и, как сообщается, распространился на около 1 миллиона зараженных хостов, включая как устройства Интернета вещей, так и компьютеры на базе Windows.
Согласно отчету Google TAG, сбой вызовет значительные проблемы и лишит операторов Glupteba доступа к критически важной инфраструктуре управления и контроля, что фактически сделает ботнет вне досягаемости. Однако группа исследователей безопасности Google также заявила, что ожидается, что операторы Glupteba также смогут восстановить и прибегнуть к вторичной инфраструктуре C2, используя данные, которые хранятся в цепочке блоков биткойнов.
Что такое Глуптеба?
Известно, что Glupteba использует различные векторы атак для заражения целевых систем. Эти методы атаки варьировались от использования вредоносных документов до сокрытия пиратского программного обеспечения и приложений в «трещинах». Вредоносное ПО Glupteba также могло незаметно добывать криптовалюту в системе жертвы через специальный модуль, а также извлекать учетные данные для входа и файлы с дисков жертвы, что сделало его грозным вредоносным набором инструментов.
Обнаружение единственного URL-адреса репозитория git в коде двоичного файла Glupteba, который подвергался обратной инженерии и изучался, поставило исследователей на след, который в конечном итоге привел к нарушению работы ботнета.
Массовое уничтожение ботнета
Получив уведомление по URL-адресу, исследовательской группе удалось в конечном итоге закрыть ряд онлайн-сервисов, принадлежащих операторам Glupteba. Рассматриваемые услуги использовались для продажи украденных учетных данных, а также украденной информации о кредитных картах. Взломанные способы оплаты также использовались в злонамеренных целях: злоумышленники незаконно платили за вредоносные рекламные кампании или совершали мошеннические платежи в Google Рекламе. Во время зачистки, чтобы отключить инфраструктуру C2 ботнета, команда Google работала вместе с CloudFlare, чтобы отключить серверы и разместить предупреждающие сообщения, которые загружаются до того, как система сможет получить доступ к вредоносному домену. Кроме того, было закрыто около 900 учетных записей Google Рекламы, а также более 900 облачных проектов и более 1300 учетных записей Google.
