Блокчейн криптовалют, похоже, является новейшим инструментом, который киберпреступники используют, чтобы сделать свои ботнеты невероятно устойчивыми к уничтожению. Недавняя история показала, как криптовалюта Bitcoin помогла сделать Glupteba очень устойчивым.
На прошлой неделе Google объявила, что частично нарушила работу огромного ботнета-гигантской сети из более чем миллиона зараженных вредоносными программами компьютеров Windows. В мире кибербезопасности это уже новость. Но эта конкретная сеть интересна другим – она интегрировалась в блокчейн Bitcoin, что затрудняет ее обезвреживания.
Ботнеты — это, по сути, армия цифровых зомби. Это устройства, зараженные вредоносными программами, которые находятся во вредоносной сети и находятся под контролем единого центра. Эта армия используется для осуществления киберпреступной деятельности.
В данном конкретном случае преступной организацией, что стоит за ботнетом, считается семейство вредоносных программ, известное как Glupteba.
На прошлой неделе группа анализа угроз Google (TAG) опубликовала контекст ботнета Glupteba, показывающий, что сеть использовалась для добычи криптовалюты (криптоджекинг). Мощность миллионов процессоров зараженных устройств действовала как бесплатное топливо для преступников, которые могли использовать его для поддержки своего энергоемкого предприятия.
Ботнет возрождается из блокчейна
Реальная проблема заключается в том, что когда Google заявила, что нарушила работу Gluteba, ей также пришлось признать, что заражена сеть вскоре возобновится и возобновится в полную силу благодаря инновационному механизму устойчивости, основанном на блокчейні Bitcoin.
Этот новый механизм, основанный на криптографии, о котором уже давно теоретизировали, но который ранее не использовался на практике. Он может сделать ботнеты киберпреступников более устойчивыми к воздействию со стороны правоохранительных органов.
Развивающаяся проблема
Основная проблема для любого киберпреступника, который хочет управлять ботнетом, заключается в том, как сохранить контроль над своими зомбированными ордами.
Ботнеты обычно создаются для управления одной централизованной стороной, обычно называемой «ботмастером» или «ботхердером». Пастухи используют так называемый сервер управления и контроля (C2) — одну машину, которая отправляет указания всем зараженным машинам, эффективно действуя в качестве главного коммутатора для преступников, чтобы контролировать своих зомби.
Через C2 пастухи могут управлять крупномасштабными вредоносными кампаниями, такими как кража данных, атаки вредоносных программ или, в случае Glupteba, криптоджекинг.
Но для управления своими стадами ботмастеру нужен канал, по которому он мог бы оставаться на связи с ними и отдавать команды. И именно здесь все может стать сложнее.
Многие C2 используют базовые веб-протоколы, такие как HTTP, что означает, что они должны быть подключены к определенному веб-домену, чтобы оставаться на связи со своим стадом. Домен действует как сайт в интернете и, таким образом, сеть зараженных устройств получает к нему доступ.
Однако, поскольку отключить веб — сайт не так сложно, это означает, что C2S – и, следовательно, сами ботнеты-можно довольно легко обезвредить. Правоохранительные органы могут уничтожить их, просто выведя из строя домены, связанные с C2. Это могут сделать, заставив поставщика DNS, такого как Cloudflare, отключить доступ, или найдя и захватив сам домен.
Чтобы обойти эту проблему, преступники все чаще ищут инновационные способы оставаться на связи со своими стадами ботов. В частности, преступники пытались использовать альтернативные платформы, такие как социальные сети или, в некоторых случаях, Tor, как центры C2.
Исследование, проведенное в 2019 году инициативой MIT по интернет-политике, указывает, что некоторые из этих методов имели средний успех, но, как правило, не отличаются большой долговечностью:
Киберпреступники экспериментируют с экзотическими механизмами управления и контроля. Например, они скрывают инструкции в мемах и нейронах искусственного интеллекта.
Троянец Flashback извлекал инструкции из учетной записи Twitter. Троянец Whitewell использовал Facebook как точку встречи для перенаправления ботов на сервер C&C.
Администраторы редко блокируют корпоративным компьютерам доступ к Twitter, Facebook и другим крупным сервисам, поскольку они используются повсеместно. И поэтому трафик команд C&C легко проходит до конечных зомби. С другой стороны, это делает каналы C&C централизованными, и такие компании, как Twitter и Google, быстро расправляются с ними.
То, что происходит, — это игра «Бей крота» между полицейскими и преступниками. В ней полиция неоднократно удаляет домены или любую другую используемую веб-инфраструктуру, только для того, чтобы те же преступники восстановили ботнет и вновь запустили его через другой домен.
Новые каналы управления ботнетами
Глуптеба, похоже, изменил правила игры. По мнению как Google, так и других аналитиков по безопасности, которые изучали деятельность этого ботнета, преступники, похоже, нашли идеальный способ сделать его неуязвимым.
Для киберпреступников проблема того, как оставаться на связи со своими стадами ботов, может решиться путем создания механизма резервного копирования. Если основной сервер C2 и связанный с ним домен уничтожат полицейские, зараженные устройства могут начать искать в интернете другой резервный домен C2, который затем восстанавливает всю зараженную сеть.
Как правило, преступники жестко кодируют эти резервные веб-домены в самую вредоносную программу. Таким образом, бот-мастер может регистрировать множество резервных копий. Но, в конечном счете, есть предел эффективности этой стратегии. В какой-то момент в ботнете закончатся доступные закодированные адреса.
В случае с Glupteba банда полностью обошла эту проблему. Вместо жесткого кодирования веб-доменов они жестко закодировали в нее три адреса биткойн-кошелька. С помощью этих адресов Glupteba удалось создать неуязвимый интерфейс между стадами ботов и инфраструктурой C2 с помощью малоизвестной функции, известной как OP_Return.
OP_Return — спорная функция биткойн-кошельков, которая позволяет вводить произвольный текст в транзакции. В основном она функционирует как крипто-эквивалент поля «памятка».
Glupteba использует это поле в качестве канала связи. Вредоносная программа на зараженных устройствах спроектирована таким образом, что, если один из серверов C2 ботнета отключится, устройства будут сканировать публичный блокчейн Bitcoin на предмет транзакций, связанных с кошельками Glupteba. В этих кошельках через поле OP_Return киберпреступники могут постоянно вводить новые доменные адреса. Ботнет распознает их и перенаправит на новый активный сервер C2.
Это непреодолимо для правоохранителей
Chainalysis, компания по анализу блокчейна, сыграла ключевую роль в оказании помощи команде безопасности Google в расследовании в отношении Glupteba. В интервью Gizmodo старший директор компании по расследованиям и специальным программам Эрин Планте заявила, что использование преступниками блокчейна создает уникальные, потенциально непреодолимые проблемы для правоохранительных органов.
«Когда ботнет теряет связь с доменом C2 — обычно за любые действия правоохранительных органов — ботнет знает, что нужно сканировать весь публичный блокчейн Bitcoin и искать транзакции между этими тремя Bitcoin-адресами», — сказала Планте.
Другими словами, каждый раз, когда домен C2 отключается, Glupteba может автоматически восстанавливаться с помощью нового адреса домена, отправленного через крипто-кошельки банды.
Децентрализованный характер блокчейна означает, что на самом деле нет никакого способа заблокировать прохождение этих сообщений или вывести из строя соответствующие криптоадресы, сказала Планте.
Как часто отмечали крипто-энтузиасты, блокчейн считается «неподцензурным» и «защищенным от несанкционированного доступа», потому что нет какого-то одного руководящего органа. Таким образом, никто не может отключить свет от злонамеренной деятельности Глуптеба.
Можно ли остановить Glupteba
Итак, что же делать? В настоящее время возможности невелики, говорит Шейн Хантли, директор команды тегов Google.
«Этот механизм резервного копирования очень устойчив», — сказал Хантли по электронной почте Gizmodo. — Пока у злоумышленников есть ключи от кошельков, они смогут направлять ботнет на поиск новых серверов».
Планте высказывает схожую мысль. «Это, безусловно, модель, которая, если бы она была воссоздана для вымогателей или других киберпреступных действий, это страшная возможность, — сказала она. — На данный момент, кроме удаления одного домена C2 только для того, чтобы он снова запустился через несколько дней, никто не смог найти способ остановить это».
Хантли сказал, что, вероятно, были и другие примеры преступников, которые используют блокчейн таким образом, но в настоящее время эта практика определенно не считается распространенной.
«Смягчающим фактором, однако, является то, что в любое время, когда они это сделают, это будет публично, и могут быть предприняты дальнейшие действия, — сказал Хантли. Благодаря открытому формату блокчейна Bitcoin команда Google по борьбе с угрозами может продолжать отслеживать транзакции преступников. — Мы уже видели, как они направляли ботнет на новые серверы, и теперь эти серверы также были отключены».
По материалам Gizmodo
