Crédit : Dreamstime
Traitement avec de nombreuses installations Internet et fournisseurs d’hébergement, comprenant Cloudflare, Google a perturbé le fonctionnement d’un botnet Windows agressif connu sous le nom de Glupteba qui était dispersé par de fausses publicités. Il s’est également servi de réseau de distribution pour des logiciels malveillants supplémentaires.
En outre, l’entreprise a déposé une plainte contre 2 personnes supposées être basées en Russie et qui jouent un rôle central dans l’exploitation du botnet.
L’action de Google a ciblé les touches de commande-et- des installations de contrôle telles que les serveurs et le domaine utilisés par Glupteba, ainsi que de nombreux comptes malveillants sur les services de Google qui étaient utilisés pour le distribuer.
Bien qu’il s’agisse d’un coup dur pour le botnet, dont la taille estimée est de plus de 2 millions d’ordinateurs, il est peu probable qu’il être sa disparition puisque Glupteba dispose d’un mécanisme de commande et de contrôle (C&C) de sauvegarde qui repose sur la blockchain Bitcoin. Cela lui confère une durabilité par rapport aux tentatives de retrait.
» Nous avons en fait mis fin à environ 63 millions de documents Google qui auraient effectivement dispersé Glupteba, 1 183 comptes Google, 908 projets cloud et 870 comptes d’annonces Google liés à leur distribution. « , ont déclaré des scientifiques du groupe d’analyse des risques de Google dans un rapport. » De plus, 3,5 millions d’utilisateurs ont été alertés avant de télécharger un fichier destructeur via les avertissements de Google Safe Browsing. »
Qu’est-ce que Glupteba ?
Glupteba est un Programme malveillant Windows avec une partie root-kit qui fournit des capacités avancées de furtivité et d’autodéfense et une gamme de composants ou de plug-ins supplémentaires qui étendent ses performances.
Ceux-ci consistent en l’extraction de crypto-monnaie, en prenant les mots de passe et les cookies des navigateurs Internet, en surmontant le réseau local, en mettant en péril les routeurs MikroTik régionaux et en les utilisant comme proxy pour un trafic destructeur, et en réalisant un empoisonnement du cache DNS pour diriger les utilisateurs du réseau régional aux sites malveillants.
L’ensemble de fonctionnalités de Glupteba lui permet de fonctionner comme un téléchargeur pour d’autres logiciels malveillants et il est prouvé qu’il a été utilisé pour distribuer des logiciels malveillants pour d’autres étoiles à risque. Un tel exemple est le botnet Meris DDoS, connu pour abuser des routeurs MikroTik.
Le compte-gouttes Glupteba, le composant principal du malware, est dispersé de nombreuses manières, mais principalement via de faux sites Web et des messages sur les réseaux sociaux. sites Web de médias qui font la promotion de variantes piratées d’applications et de jeux commerciaux populaires.
Des publicités nuisibles diffusées via des réseaux marketing liés au logiciel malveillant ont également été observées, faisant la promotion de fausses applications de crypto trading et d’autres services. Les assaillants ont utilisé des comptes Google pour publier des spams sur YouTube et héberger des documents contenant des liens vers le malware dans Google Docs.
Pour infecter d’autres systèmes sur le réseau régional, Glupteba utilise un plugin qui exploite la vulnérabilité EternalBlue SMB. Toutes les interactions avec les serveurs de commande et de contrôle sont obtenues via un autre composant qui sert de proxy régional.
Dès la configuration, le compte-gouttes utilise des tâches organisées par le système et des outils système tels que certutil pour s’exécuter et développer la persévérance. Il inclut également des exceptions à Windows Protector pour les dossiers de logiciels malveillants, élimine continuellement le processus de mise à jour Windows et déploie deux pilotes système dont le but est de masquer le processus de logiciel malveillant.
Alternative de commande et de contrôle par au moyen de la blockchain Bitcoin
Le botnet est livré avec des URL de commande et de contrôle codées en dur dans le binaire, mais il dispose d’un système pour les mettre à jour après la configuration au cas où les domaines auraient réellement changé. De plus, il existe un mécanisme de basculement qui se déclenche lorsque le client du botnet ne peut accéder à aucun des domaines C&C actuels. Dans un tel cas, il tentera d’extraire de nouveaux domaines à partir des dernières transactions dans trois portefeuilles Bitcoin.
Toutes les transactions Bitcoin sont enregistrées sur la blockchain publique Bitcoin, qui est essentiellement un grand livre numérique dispersé. à tous les systèmes participant au réseau Bitcoin. Bitcoin ne prend pas en charge nativement le principe des notes de transaction, car cela inclurait les données de toutes les transactions, ce qui rendrait la blockchain inutilement plus grande.
Cependant, il existe une méthode pour placer une quantité limitée d’informations arbitraires (40 octets) dans une transaction Bitcoin en utilisant un champ appelé OP_RETURN. Même si ce champ était destiné à des cas d’utilisation particuliers, il peut techniquement être utilisé pour enregistrer n’importe quoi et est suffisant pour stocker un domaine.
Chaque fois qu’ils souhaitent mettre à jour les domaines C&C, les opérateurs Glupteba peuvent simplement lancer un traiter à partir de l’un des 3 portefeuilles et inclure un nouveau domaine sous forme cryptée dans le champ OP_RETURN de la transaction. Le malware est programmé pour rechercher la transaction la plus récente, en extraire les données OP_RETURN chiffrées et les déchiffrer à l’aide d’une clé AES codée en dur, puis se connecter au nouveau domaine.
Étant donné que la blockchain Bitcoin ne peut jamais être interrompue et que les enregistrements des transactions sont permanents et non modifiables, même en l’absence de serveurs C&C fonctionnels, les attaquants disposent d’une méthode pour reprendre le contrôle du botnet tant qu’ils avoir le contrôle sur l’un des portefeuilles Bitcoin.
» L’utilisation par Glupteba de la technologie blockchain en tant que système de résilience est importante ici et devient une pratique plus courante parmi les organisations d’infractions de cybercriminalité « , vice-président de Google pour la sécurité , Royal Hansen et l’avocate générale de l’entreprise, Halimah DeLaine Prado, ont déclaré dans un article de blog commun.
» La nature décentralisée de la blockchain permet au botnet de récupérer plus rapidement des perturbations, ce qui les rend encore plus difficiles à fermer. Nous travaillons en étroite collaboration avec l’industrie et le gouvernement pour lutter contre ce type de comportement, afin que même si Glupteba revient, le Web sera mieux protégé contre lui. «
L’action en justice a un précédent
Google a soumis un problème dans le district sud de New York contre deux individus nommés Dmitry Starovikov et Alexander Filippov, qui vivraient vraisemblablement en Russie, pour abus et fraude informatique, usurpation d’identité, contrefaçon de marque, publicité mensongère, concurrents déloyaux et plus encore.
En plus des dommages-intérêts et des réparations, Google a demandé une ordonnance restrictive à court terme ainsi qu’une injonction permanente interdisant à quiconque » d’aider, d’aider ou d’encourager toute autre personne ou entité commerciale à s’engager ou à exécuter l’un des l’activité » décrite dans le problème.
Si elle est donnée, une telle injonction peut aider Google et ses partenaires dans leurs efforts pour empêcher les attaquants d’utiliser des noms de domaine, des serveurs et d’autres services et installations d’entreprises qui devraient adhérer à l’injonction.
Cette technique consistant à engager des poursuites judiciaires contre les opérateurs de botnets pour protéger les décisions de justice qui aideraient ou accéléreraient les efforts de démantèlement de l’infrastructure n’est pas nouvelle. En 2015, Microsoft a soumis des déclarations de violation du droit d’auteur contre les opérateurs du botnet Trickbot pour obtenir une ordonnance du tribunal qui a permis à l’entreprise et à ses partenaires de couper les installations essentielles et d’interrompre sérieusement le botnet.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
