Хакерите започнаха все по-често да използват блокчейн технологията за осъществяване на кибератаки. С помощта на разпределената децентрализирана природа на блокчейна злоумишлениците успяват да останат анонимни и да осъществяват най-различни мощни хакерски атаки с различни цели – от разпространяването на малуер до използването на рансъмуер в компютрите на жертвите.

Ботнетът Glupteba, работата на който миналата година бе спряна от Google, отново е активен и заразява компютърните устройства от целия свят. Експертите по информационна безопасност на компанията Nozomi съобщиха, че новата кампания на Glupteba е започнала през месец юни тази година и продължава до днес.

Да си припомним, че през месец декември 2021 г. специалистите на Google премахнаха акаунтите и едновременно с това блокираха сървърите и домейните, свързани с ботнета Glupteba. Освен това, интернет гигантът заведе съдебно дело и представи доказателства, че ботнентът е създаден от двама руснака, които наскоро – на 18-ти ноември бяха осъдени, но едва ли ще бъдат екстрадирани в Съединените Щати.

През месец декември Google съобщиха, че са премахнали около 63 милиона файла от Google Docs, използвани от операторите на Glupteba за разпространяването на малуер, както и 908 облачни проекта и 870 акаунта в Google Ads, които хакерите са използвали за съхранението на различните софтуерни блокове на ботнета.

В края на миналата година различните експерти по кибербезопасност бяха единодушни, че тези действия едва ли ще могат да спрат Glupteba, и само ще създадат някои неудобства на операторите на този ботнет. Причината е, че Glupteba по принцип е създадена с резервна C&C система, базирана на блокчейна на Bitcoin. Тогава специалистите на Google съобщиха, че само се надяват със своите действия поне за няколко месеца силно да намалят активността на този много опасен ботнет.

Сега Nozomi съобщава, че всичко е станало точно така, както предполагаха експертите на интернет гиганта. Ботнетът отново е активен и както преди използва Bitcoin блокчейна, за да избегне каквито и да било сривове при изпращане на обновяване на списъка с командващите и управляващите (C&C) сървъри, откъдето се изпращат командите кой и по какъв начин да бъде заразен с малуер, рансъмуер и т.н.

Клиентите на ботнета получават адреса на съответния C&C сървър с помощта на несложна функция, която циклично проверява сървърите на Bitcoin портфейлите, извлича транзакциите и ги анализира, за да намери прикрепения към тази информация адрес, криптиран с помощта на AES алгоритъма. Тази стратегия от няколко години се използва от Glupteba и осигурява устойчивостта на ботнета към всякакви сривове, независимо дали са предизвикани от киберекспертите или от нещо друго.

Особеното при Glupteba е, че се използва частен Bitcoin ключ, без който правоохранителните органи не могат сериозно да нарушат работата на ботнета и не могат внезапно да спрат неговата работа.

Единственият недостатък при прилагането на този метод е по принцип отворената природа на използвания блокчейн, благодарение на което всеки може да получи достъп до него и да изучи осъществените транзакции. Именно това са направили аналитиците на Nozomi – те са сканирали целия блокчейн и са разучили над 1500 екземпляра на Glupteba, добавили са пасивните DNS записи, показващи домейните и хостовете на Glupteba и са проучили дори TLS сертификатите, за да съставят една много подробна представа за инфраструктурата на този ботнет. Новото този път е, че броят на използваните от Glupteba възли на анонимната мрежа Tor е нараснал десеторно.

За предпазване от Glupteba експертите препоръчват да бъдат блокирани домейните от рода на blockchain.info, които са свързани с блокчейните от този тип, и разбира се, потребителите да поддържат своя антивирусен софтуер актуален.