- Служба безопасности Google пресекла деятельность ботнета Glupteba, который заразил миллионы машин по всему миру, распространяясь через блокчейн биткоина.
- Компания также подала в суд на 17 физических лиц, в основном из России, но признала, что благодаря использованию биткоина ботнет может снова подняться на ноги.
Технология блокчейн используется во всевозможных инновационных проектах, большинство из которых успешны. Однако она не застрахована от злоупотреблений, и предполагаемые российские хакеры использовали ее для распространения вредоносных программ по всему миру. Компания Google пресекла деятельность этой группировки, чей ботнет Glupteba распространялся через блокчейн биткоина и заразил миллионы устройств по всему миру.
В своем блоге вице-президент Google по безопасности Ройал Хансен сообщил, что компания приняла меры против Glupteba. Он отметил, что ботнет заразил около одного миллиона пк на Windows, что делает его одним из крупнейших ботнетов в мире. Она растет со скоростью тысячи новых жертв ежедневно, отметил он.
Операторы Glupteba использовали ее для кражи учетных данных пользователей и файлов cookie, развертывания и эксплуатации прокси-компонентов, нацеленных на системы Windows, и майнинга криптовалют на зараженных узлах. В основном она атаковала США, Бразилию, Индию и несколько других стран Юго-Восточной Азии, но имеет глобальное мировое присутствие.
Шейн Хантли, директор Группы анализа угроз Google, раскрыл дополнительные подробности в другом сообщении блога, заявив:
Вредоносное ПО семейства Glupteba распространяется в основном через сети с оплатой за установку (PPI) и через трафик, приобретаемый у систем распределения трафика (TDS). В течение определенного периода времени мы наблюдали тысячи случаев загрузки вредоносного ПО Glupteba в день.
Glupteba использует биткоин во зло
Glupteba использовала блокчейн Bitcoin, что придавало ей беспрецедентную устойчивость. Хотя ее трудно уничтожить, она также обладает способностью быстро восстанавливаться, даже если ее уничтожили, как это произошло с Google.
Как только связь между хакерами и ботнетом прерывается, сеть автоматически ищет сообщения, опубликованные хакерами, с указаниями по восстановлению связи через публичный блокчейн Биткойна. Chainalysis называет это первым случаем, когда ботнет использует такой подход.
Хансен отметил:
К сожалению, использование Glupteba технологии блокчейн в качестве механизма обеспечения устойчивости является здесь примечательным и становится все более распространенной практикой среди киберпреступных организаций. Децентрализованная природа блокчейна позволяет ботнету быстрее восстанавливаться после сбоев, что делает его гораздо более сложным для отключения.
Для распространения Glupteba также использовались ресурсы Google, и поисковый гигант был вынужден закрыть часть из них.
«Мы удалили около 63 миллионов Документов Google, которые, как было установлено, распространяли Glupteba, 1 183 учетных записей Google, 908 облачных проектов и 870 аккаунтов Google Ads, связанных с их распространением. Кроме того, 3,5 миллиона пользователей были предупреждены перед загрузкой вредоносного файла с помощью предупреждений Google Safe Browsing», — сообщила компания.
Google также предпринял юридические действия против 17 лиц, которые, по его мнению, стояли за ботнетом. В своем заявлении, поданном в Южный округ Нью-Йорка, компания обвинила двух россиян — Александра Филиппова и Дмитрия Старовико — и еще 15 человек в компьютерном мошенничестве, нарушении прав на товарные знаки и других обвинениях.
Один из подозреваемых, Филиппов, был отслежен до башни «Федерация» в Москве. На этой неделе газета New York Times сообщила, что американские следователи по киберпреступности отследили несколько других хакерских организаций, связанных с биткоином, в том же здании.
