Ботнет Glupteba снова активен и по-прежнему использует блокчейн В конце 2021 года компания Google подала в суд на россиян Дмитрия Старовикова и Александра Филиппова, которых обвинила в создании и эксплуатации ботнета Glupteba. Тогда же специалисты Google добились удаления учётных записей, а также отключения серверов и доменов, связанных с ботнетом. Google выиграла этот судебный процесс, а Glupteba снова активен. В декабре 2021 года Google отчитывалась об удалении около 63 миллионов файлов из Google Docs, которые операторы Glupteba использовали для распространения своей Malware, а также 1183 учётных записи Google, 908 облачных проектов и 870 учётных записей Google Ads, которые хакеры тоже применяли для размещения различных частей своего ботнета. Прошлой зимой специалисты признавали, что их действия вряд ли остановят ботнет и, скорее всего, доставят операторам Glupteba лишь временные неудобства, так как Malware исходно создавалась с резервной C&C-системой, которая работает поверх блокчейна Bitcoin. Тем не менее, в Google надеялись, что Glupteba хотя бы на несколько месяцев снизит свою активность. Впервые ботнет Glupteba был задокументирован в отчёте компании ESET в далеком 2011 году, а в 2021 считался одним из старейших ботнетов в мире, который атаковал пользователей в США, Индии, Бразилии и странах Юго-Восточной Азии. Немного о заслугах Glupteba Glupteba атаковал только системы под управлением Windows и для распространения полагался на взломанное или пиратское ПО, а также схемы с оплатой за каждую установку (pay-per-install). Проникнув на устройство, малварь загружала различные модули, которые могли выполнять специализированные задачи. На взломанных машинах Glupteba похищала учётные данные и файлы cookie, добывала криптовалюту, а также разворачивала и эксплуатировала прокси-компоненты, нацеленные на системы Windows и устройства IoT. Один из наиболее известных модулей ботнета был способен распространять заражение с компьютера под управлением Windows на маршрутизаторы MikroTik, обнаруженные во внутренних сетях. Считается, что именно этот модуль использовался в начале 2021 года для построения ботнета Mēris, ответственного за некоторые крупнейшие DDoS-атаки. Прогнозируемое возвращение Как сообщает теперь компания Nozomi, Ботнет снова активен и по-прежнему использует блокчейн Bitcoin. Клиенты ботнета получают адрес C&C-сервера с помощью функции, которая перечисляет серверы биткойн-кошельков, извлекает транзакции и анализирует их, чтобы найти зашифрованный AES-адрес. Эта стратегия используется Glupteba уже несколько лет, обеспечивая ботнету устойчивость к сбоям. Также не имея закрытого Bitcoin-ключа, правоохранительные органы не могут осуществить внезапный захват ботнета или эффективно нарушить его работу. Единственным недостатком этой тактики является общедоступность блокчейна, благодаря которой любой желающий может получить к нему доступ и изучить транзакции для сбора информации. Что и сделали аналитики Nozomi. Эксперты проделали большую работу, просканировав блокчейн и изучив более 1500 образцов Glupteba, загруженных на VirusTotal. Также исследователи Nozomi использовали пассивные записи DNS для поиска доменов и хостов Glupteba, и изучили набор сертификатов TLS, используемых малварью, чтобы получить лучшее представление о инфраструктуре ботнета. В итоге расследование выявило 15 биткоин-адресов, используемых в четырех кампаниях Glupteba, последняя из которых началась в июне 2022 года. Самый «продуктивный» из обнаруженных адресов имел 11 транзакций и контактировал с 1197 образцами малвари. Его последняя активность была зарегистрирована 8 ноября 2022 года. Кроме того, выяснилось, что количество сервисов Tor, используемых ботнетом в качестве управляющих серверов, выросло в десять раз по сравнению с кампанией 2021 года. А вас распирает гордость за отечественный ботнет? #RuTORхакинг РУЛЕТКА | Конкурсы и выплаты | RuTOR MEDIA | Чат | Форум | Twitter | RuTOR Science