В Сети появилась новая угроза – ботнет Glupteba. Его обнаружение есть заслуга специалистов Google и экспертов Chainalysis. Более того, им удалось не только вскрыть сам факт его существования, но и ликвидировать его часть. Однако, уже через некоторое время эксперты с удивлением констатировали, что ботнет не только восстановил свой масштаб, но и продолжает расти со все большими темпами. Ситуация напоминает картину, где у гидры вырастают новые головы взамен только что отрубленных!
Специалисты признают, что ничего не могут сделать с этой опасностью, но продолжают искать решение. Но почему, ведь классические ботнеты, а Chainalysis как раз и является таким, уже научились ликвидировать полностью? Как всегда, «дьявол кроется в деталях» — все дело в том, что это криптоботнет.
Главная цель хакеров завладение ресурсами зараженных компьютеров для добычи криптовалюты. Самым важным элементом ботнета является надежный канал связи управляющего сервера с зараженными машинами. В случае с Glupteba хакеры используют криптокошельки, работающие по принципам блокчейн. Такой подход крайне выгоден тем, что не позволяет просто отключить канал связи.
Эксперты рассказали о том, как борются с традиционными ботнетами. В общем случае, у управляющего сервера всегда есть местоположение. Это может быть аккаунт в соцсети, канал в мессенджере, сайт, облачное хранилище. Если установлен его адрес, то канал связи с ним можно отключить, задействовав полномочия властных и силовых структур. Ботнет обречен даже если у него будут сотни запасных адресов. Тут же ситуация намного сложнее и все благодаря тому, что криптокошельки изначально защищены блокчейном.
Хакеры эксплуатируют функцию «OP_Return», которую можно назвать противоречивой. Она позволяет добавить в описание транзакции произвольный текст. В качестве такого текста хакеры добавляют новые инструкции для зараженных ПК по установлению альтернативных связей с управляющим сервером.
Блокировать такие сообщения невозможно в принципе – блокчейн имеет распределенную структуру. Единственным реальным действенным решением проблемы может только физический арест участников хакерской группы. Однако, это тоже непростая задача, ведь никто не знает кто они и где их искать…
