Блокчейн криптовалют, схоже, є новітнім інструментом, який кіберзлочинці використовують, щоб зробити свої ботнети неймовірно стійкими до знищення. Нещодавня історія показала, як криптовалюта Bitcoin допомогла зробити Glupteba дуже стійким.
Минулого тижня Google оголосила, що частково порушила роботу величезного ботнету – гігантської мережі з більш ніж мільйона заражених шкідливими програмами комп’ютерів Windows. У світі кібербезпеки це вже новина. Але ця конкретна мережа цікава іншим – вона інтегрувалася в блокчейн Bitcoin, що ускладнює її знешкодження.
Ботнети – це, по суті, армія цифрових зомбі. Це пристрої, заражені шкідливими програмами, які перебувають у шкідливій мережі і знаходяться під контролем єдиного центру. Ця армія використовується для здійснення кіберзлочинної діяльності.
В даному конкретному випадку злочинною організацією, що стоїть за ботнетом, вважається сімейство шкідливих програм, відоме як Glupteba.
Минулого тижня група аналізу загроз Google (TAG) опублікувала контекст ботнету Glupteba, що показує, що мережа використовувалася для видобування криптовалюти (криптоджекінг). Потужність мільйонів процесорів заражених пристроїв діяла як безкоштовне паливо для злочинців, які могли використовувати його для підтримки свого енергоємного підприємства.
Ботнет відроджується з блокчейну
Реальна проблема полягає в тому, що коли Google заявила, що порушила роботу Gluteba, їй також довелося визнати, що заражена мережа незабаром відновиться і відновиться в повну силу завдяки інноваційному механізму стійкості, заснованому на блокчейні Bitcoin.
Цей новий механізм, заснований на криптографії, про який вже давно теоретизували, але який раніше не використовувався на практиці. Він може зробити ботнети кіберзлочинців більш стійкими до впливу з боку правоохоронних органів.
Розвивається проблема
Основна проблема для будь-якого кіберзлочинця, який хоче керувати ботнетом, полягає в тому, як зберегти контроль над своїми зомбованими ордами.
Ботнети зазвичай створюються для управління однією централізованою стороною, зазвичай званої “ботмастером” або “ботхердером”. Пастухи використовують так званий сервер управління і контролю (C2) – одну машину, яка відправляє вказівки всім зараженим машинам, ефективно діючи в якості головного комутатора для злочинців, щоб контролювати своїх зомбі.
Через C2 пастухи можуть керувати великомасштабними шкідливими кампаніями, такими як крадіжка даних, атаки шкідливих програм або, у випадку Glupteba, криптоджекінг.
Але для управління своїми стадами ботмастеру потрібен канал, по якому він міг би залишатися на зв’язку з ними і віддавати команди. І саме тут все може стати складніше.
Багато C2 використовують базові веб-протоколи, такі як HTTP, що означає, що вони повинні бути підключені до певного веб-домену, щоб залишатися на зв’язку зі своїм стадом. Домен діє як сайт в інтернеті і, таким чином, мережа заражених пристроїв отримує до нього доступ.
Однак, оскільки відключити веб-сайт не так складно, це означає, що C2S – і, отже, самі ботнети – можна досить легко знешкодити. Правоохоронні органи можуть знищити їх, просто вивівши з ладу домени, пов’язані з C2. Це можуть зробити, змусивши постачальника DNS, такого як Cloudflare, відключити доступ, або знайшовши і захопивши сам домен.
Щоб обійти цю проблему, злочинці все частіше шукають інноваційні способи залишатися на зв’язку зі своїми стадами ботів. Зокрема, злочинці намагалися використовувати альтернативні платформи, такі як соціальні мережі або, в деяких випадках, Tor, як центри C2.
Дослідження, проведене в 2019 році ініціативою MIT з інтернет-політики, вказує, що деякі з цих методів мали середній успіх, але, як правило, не відрізняються великою довговічністю:
Кіберзлочинці експериментують з екзотичними механізмами управління та контролю. Наприклад, вони ховають інструкції в мемах та нейронах штучного інтелекту.
Троянець Flashback витягував інструкції з облікового запису Twitter. Троянець Whitewell використовував Facebook як точку зустрічі для перенаправлення ботів на сервер C&C.
Адміністратори рідко блокують корпоративним комп’ютерам доступ до Twitter, Facebook та інших великих сервісів, оскільки вони використовуються повсюдно. І тому трафік команд C&C легко проходить до кінцевих зомбі. З іншого боку, це робить канали C&C централізованими, і такі компанії, як Twitter і Google, швидко розправляються з ними.
Те, що відбувається, – це гра “Бий крота” між поліцейськими та злочинцями. В ній поліція неодноразово видаляє домени або будь-яку іншу використовувану веб-інфраструктуру, тільки для того, щоб ті ж злочинці відновили ботнет і знову запустили його через інший домен.
Нові канали керування ботнетами
Глуптеба, схоже, змінив правила гри. На думку як Google, так і інших аналітиків з безпеки, які вивчали діяльність цього ботнета, злочинці, схоже, знайшли ідеальний спосіб зробити його невразливим.
Для кіберзлочинців проблема того, як залишатися на зв’язку зі своїми стадами ботів, може вирішитися шляхом створення механізму резервного копіювання. Якщо основний сервер C2 і пов’язаний з ним домен знищать поліцейські, заражені пристрої можуть почати шукати в інтернеті інший резервний домен C2, який потім відновлює всю заражену мережу.
Як правило, злочинці жорстко кодують ці резервні веб-домени в саму шкідливу програму. Таким чином, бот-майстер може реєструвати безліч резервних копій. Але, в кінцевому рахунку, є межа ефективності цієї стратегії. У якийсь момент в ботнеті закінчаться доступні закодовані адреси.
У випадку з Glupteba банда повністю обійшла цю проблему. Замість жорсткого кодування веб-доменів вони жорстко закодували в неї три адреси біткойн-гаманця. За допомогою цих адрес Glupteba вдалося створити невразливий інтерфейс між стадами ботів і інфраструктурою C2 за допомогою маловідомої функції, відомої як OP_Return.
OP_Return – спірна функція біткойн-гаманців, яка дозволяє вводити довільний текст в транзакції. В основному вона функціонує як крипто-еквівалент поля “пам’ятка”.
Glupteba використовує це поле в якості каналу зв’язку. Шкідлива програма на заражених пристроях спроектована таким чином, що, якщо один з серверів C2 ботнету відключиться, пристрої будуть сканувати публічний блокчейн Bitcoin на предмет транзакцій, пов’язаних з гаманцями Glupteba. У цих гаманцях через поле OP_Return кіберзлочинці можуть постійно вводити нові доменні адреси. Ботнет розпізнає їх і перенаправить на новий активний сервер C2.
Це непереборно для правоохоронців
Chainalysis, компанія з аналізу блокчейна, зіграла ключову роль в наданні допомоги команді безпеки Google в розслідуванні щодо Glupteba. В інтерв’ю Gizmodo старший директор компанії з розслідувань і спеціальними програмами Ерін Планте заявила, що використання злочинцями блокчейна створює унікальні, потенційно непереборні проблеми для правоохоронних органів.
“Коли ботнет втрачає зв’язок з доменом C2 – зазвичай через будь-які дії правоохоронних органів – ботнет знає, що потрібно сканувати весь публічний блокчейн Bitcoin і шукати транзакції між цими трьома Bitcoin-адресами”, – сказала Планте.
Іншими словами, кожен раз, коли домен C2 відключається, Glupteba може автоматично відновлюватися за допомогою нової адреси домену, відправленого через крипто-гаманці банди.
Децентралізований характер блокчейна означає, що насправді немає ніякого способу заблокувати проходження цих повідомлень або вивести з ладу відповідні криптоадреси, сказала Планте.
Як часто відзначали крипто-ентузіасти, блокчейн вважається “непідцензурним” і “захищеним від несанкціонованого доступу”, тому що немає якогось одного керівного органа. Таким чином, ніхто не може відключити світло від зловмисної діяльності Глуптеба.
Чи можна зупинити Glupteba
Отже, що ж робити? В даний час можливості невеликі, говорить Шейн Хантлі, директор команди тегів Google.
“Цей механізм резервного копіювання дуже стійкий, – сказав Хантлі в електронному листі Gizmodo. – Поки у зловмисників є ключі від гаманців, вони зможуть направляти ботнет на пошук нових серверів”.
Планте висловлює схожу думку. “Це, безумовно, модель, яка, якщо б вона була відтворена для вимагачів або інших кіберзлочинних дій, це страшна можливість, – сказала вона. – На даний момент, крім видалення одного домену C2 тільки для того, щоб він знову запустився через кілька днів, ніхто не зміг знайти спосіб зупинити це”.
Хантлі сказав, що, ймовірно, були й інші приклади злочинців, які використовують блокчейн таким чином, але в даний час ця практика безумовно не вважається поширеною.
“Пом’якшувальним фактором, однак, є те, що в будь – який час, коли вони це зроблять, це буде публічно, і можуть бути зроблені подальші дії, – сказав Хантлі. Завдяки відкритому формату блокчейна Bitcoin команда Google по боротьбі з загрозами може продовжувати відстежувати транзакції злочинців. – Ми вже бачили, як вони направляли ботнет на нові сервери, і тепер ці сервери також були відключені”.
За матеріалами: Gizmodo
