Google 拿下百萬台裝置組成的Glupteba殭屍網路 控告營運人士
Google威脅分析小組(TAG)本周破獲一個由上百萬台Windows電腦及物聯網裝置組成的區塊鏈殭屍網路名為Glupteba。
Google同時對營運該網路的人士提出告訴。
Google指出,Glupteba以每天新增數千台裝置的速度成長,已經蔓延全球。它透過以冒充盜版軟體、Youtube影片、惡意文件、流量管理系統軟體散布。一旦用戶安裝後就會竊取用戶資料及登入憑證、並在受害電腦、路由器上挖礦,或是設立代理伺服器以發送流量,像是散佈勒索軟體或是發動分散式阻斷服務(DDoS)攻擊。
此外,Google調查發現Glupteba營運人士也提供一系列網路犯罪服務(cybercrime as a service),像是出售以竊來的帳密存取虛擬機器(virtual machine)、轉發伺服器、信用卡卡號,以及發送惡意Google Ads廣告及支付詐騙等。
為了中斷其營作,TAG破壞了Glupteba的主要C&C網路,使營運人無法再指揮Glupteba網路。Google安全副總裁Royal Hansen及法務長Halimah DeLaine指出,這次行動一共取締了散佈Glupteba的6300萬個Google Docs、1,313個Google帳號、908個雲端專案及870個Google Ads帳號,他們也和CloudFlare等業者合作把伺服器,並在用戶點入惡意網域前插入警告網頁。
不過Google指出,Glupteba使用區塊鏈技術這點值得注意,因為區塊鏈去中心的特性讓它得以從斷線後快速復原,也更難以關閉。
TAG研究人員指出,Glupteba的營運人士可能企圖利用備份的C&C架構重新拿回控制權,這個架構下,所有資料都儲存在區塊鏈上。其中C&C伺服器利用HTTPS和感染裝置通訊。一旦通訊中斷,感染系統就會從多個加密的比特幣電子錢包最新交易中取得備份網域以建立連線。
過去取締殭屍網路Emotet及TrickBot的經驗得知,這類殭屍網路可能在取締幾個月後死灰復燃。因此Google還多了一個動作,向紐約法院控告Glupteba的俄羅斯籍營運人Dmitry Starovikov和 Alexander Filippov。
目前人在俄羅斯的兩人被以電腦詐欺、濫用罪名及侵害商標、違反「反勒索及受賄組織法」(Racketeer Influenced and Corrupt Organizations, RICO)法及干擾業務關係、不當獲利等罪名控告。
來源:ThreatPost