Πριν από ένα χρόνο η Google κατάφερε να καταστείλει την λειτουργία του botnet malware Glupteba. Όμως φαίνεται πως τώρα το botnet έχει επιστρέψει στη δράση και μάλιστα εξαπλώνεται σε συσκευές σε όλο τον κόσμο πολύ γρήγορα.
Δείτε επίσης: Metropolitan Opera: Ποια συστήματα επηρέασε η κυβερνοεπίθεση
Τον Δεκέμβριο του 2021, η Google προκάλεσε αναταραχή στον χώρο των botnet με δυνατότητα blockchain, λαμβάνοντας δικαστικές εντολές για την ανάληψη του ελέγχου της υποδομής του botnet και καταθέτοντας καταγγελίες κατά δύο Ρώσων φορέων εκμετάλλευσης. Η ταχύτητα με την οποία χειρίστηκε την κατάσταση αυτή ήταν αξιοσημείωτη και είχε βαθιά επίδραση στον τομέα.
Τον Ιούνιο του 2022, η Nozomi εντόπισε την έναρξη μιας μαζικής εκστρατείας Glupteba μέσω συναλλαγών blockchain, εγγραφών πιστοποιητικών TLS και δειγμάτων reverse engineering Glupteba – μια επιχείρηση που συνεχίζει να είναι ενεργή.
Εξερεύνηση του Άρη από ανθρώπους έως το 2035
Δείτε επίσης: RootAyyildiz: Επίθεση hacker στο eshop του Leo Messi
Βυθισμένο στο Blockchain
Το Glupteba είναι ένα προηγμένο, υποστηριζόμενο από blockchain modular malware που εκμεταλλεύεται τις συσκευές Windows για να κάνει mine cryptocurrency και να κλέψει δεδομένα χρηστών, όπως ονόματα χρηστών και cookies. Μπορεί επίσης να αναπτύξει proxies τόσο σε συστήματα της Microsoft όσο και σε προϊόντα IoT.
Αυτά τα proxies αργότερα πωλούνται ως ‘residential proxies’ σε σε άλλους εγκληματίες του κυβερνοχώρου.
Το malware διανέμεται συχνά μέσω κακόβουλων διαφημιστικών δικτύων (malvertising) που πληρώνουν για κάθε εγκατάσταση και συστημάτων που χρησιμοποιούνται για τη διανομή της κυκλοφορίας και μεταμφιέζονται σε δωρεάν βίντεο, ταινίες ή άλλα είδη λογισμικού.
Το Glupteba αξιοποιεί τη δύναμη του Bitcoin blockchain προκειμένου να αποφύγει τις διαταραχές, καθώς λαμβάνει ενημερωμένες λίστες των command and control servers που δίνουν εντολή για την εκτέλεσή του.
Οι clients του botnet ανακτούν τη διεύθυνση C2 server χρησιμοποιώντας μια συνάρτηση Discover που απαριθμεί τους Bitcoin wallet servers, ανακτά τις συναλλαγές τους και τους αναλύει για να βρουν μια κρυπτογραφημένη διεύθυνση AES.
Αυτή η στρατηγική χρησιμοποιείται από το Glupteba εδώ και αρκετά χρόνια, προσφέροντας ανθεκτικότητα έναντι των takedowns.
Καθώς οι συναλλαγές blockchain δεν μπορούν να καταστραφούν, οι πρωτοβουλίες για την κατάργηση των διευθύνσεων C2 έχουν μικρή επίδραση στις λειτουργίες του botnet.
Επιπλέον, δεδομένου ότι οι διωκτικές αρχές δεν μπορούν να έχουν πρόσβαση στο ιδιωτικό κλειδί Bitcoin, δεν είναι σε θέση να τοποθετήσουν κακόβουλο λογισμικό σε μια διεύθυνση controller. Αυτό τους καθιστά αδύνατο να εκτελέσουν τις ξαφνικές ανακαταλήψεις botnet ή παγκόσμιες απενεργοποιήσεις, όπως αυτή που συνέβη με το Emotet στις αρχές του 2021.
Το μόνο μειονέκτημα είναι ότι το Bitcoin blockchain είναι δημόσιο, επομένως ο καθένας μπορεί να έχει πρόσβαση σε αυτό και να ελέγχει τις συναλλαγές για τη συλλογή πληροφοριών.
Δείτε επίσης: T-Mobile: Ο Hacker της καταδικάστηκε σε 10 χρόνια φυλάκισης
Η επιστροφή του Glupteba
Η Nozomi ανακάλυψε ότι το Glupteba εξακολουθεί να χρησιμοποιεί το blockchain από σήμερα, οπότε οι αναλυτές της ανέλαβαν να σαρώσουν κάθε σπιθαμή του blockchain προκειμένου να αποκαλύψουν κρυμμένα C2 domains.
Η προσπάθεια ήταν τεράστια, περιλαμβάνοντας τον έλεγχο 1.500 δειγμάτων Glupteba που ανέβηκαν στο VirusTotal για εξαγωγή διευθύνσεων wallet και προσπάθεια αποκρυπτογράφησης transaction payload χρησιμοποιώντας κλειδιά που σχετίζονται με το κακόβουλο λογισμικό.
Για να αποκαλύψει περισσότερα σχετικά με την υποδομή του Glupteba, η Nozomi εκτέλεσε παθητική αναζήτηση εγγραφών DNS και εξέτασε προσεκτικά τα τελευταία πιστοποιητικά TLS που χρησιμοποιούνται από το κακόβουλο λογισμικό.
Μετά την έρευνα της Nozomi, ανακαλύφθηκαν δεκαπέντε διευθύνσεις Bitcoin που σχετίζονταν με τέσσερις εκστρατείες Glupteba. Η τελευταία ξεκίνησε τον Ιούνιο του 2022 – έξι μήνες μετά την εξάλειψη των δραστηριοτήτων της Google. Δυστυχώς, αυτή η εκστρατεία συνεχίζεται μέχρι σήμερα.
Αυτή η εκστρατεία χρησιμοποιεί έναν άνευ προηγουμένου αριθμό διευθύνσεων Bitcoin, παρέχοντας στο botnet αξιοσημείωτη ανθεκτικότητα.
Η χρήση των κρυφών υπηρεσιών TOR ως C2 servers έχει εκτοξευθεί στα ύψη το τελευταίο έτος, με τη χρήση να έχει δεκαπλασιαστεί από την εκστρατεία του 2021. Αυτό ακολουθεί μια παρόμοια προσέγγιση όσον αφορά τον πλεονασμό και είναι ενδεικτικό της αυξημένης ζήτησης για ασφαλή δίκτυα επικοινωνίας.
Η πιο παραγωγική διεύθυνση είχε 11 συναλλαγές και κοινοποιήθηκε σε 1.197 δείγματα, με την τελευταία της δραστηριότητα να καταγράφεται στις 8 Νοεμβρίου 2022.
Πρόσφατα, ήδη από τις 22 Νοεμβρίου 2022, η Nozomi συνέλεξε στοιχεία για την αύξηση των εγγραφών domain του Glupteba μέσω παθητικών δεδομένων DNS.
Οι αναφορές δείχνουν ότι το botnet Glupteba έχει επιστρέψει, όχι μόνο μεγαλύτερο από πριν, αλλά και πιο δύσκολο να εξουδετερωθεί. Δημιουργεί έναν μεγάλο αριθμό εφεδρικών διευθύνσεων σε μια προσπάθεια να αποφύγει τους ερευνητές και τις αρχές από την αφαίρεσή του. Όλα αυτά τα γεγονότα έρχονται μαζί για να κάνουν αυτό το κακόβουλο κακόβουλο λογισμικό ακόμη πιο δύσκολο να εξαλειφθεί.
Παρόλο που κανείς δεν μπορεί να εγγυηθεί 100% προστασία από τέτοιες απειλές, η λήψη προληπτικών μέτρων, όπως η ενημέρωση του λογισμικού σας, η προσοχή στο να κάνετε κλικ σε άγνωστους συνδέσμους ή αρχεία που αποστέλλονται μέσω email ή μέσων κοινωνικής δικτύωσης και η χρήση αξιόπιστου antivirus, μπορούν να συμβάλουν στη μείωση του κινδύνου μόλυνσης.
Πηγή πληροφοριών: bleepingcomputer.com
