Google 拿下百萬台裝置組成的 Glupteba 殭屍網路 控告營運人士
Google 威脅分析小組 (TAG) 本周破獲一個由上百萬台 Windows 電腦及物聯網裝置組成的區塊鏈殭屍網路名為 Glupteba。
Google 同時對營運該網路的人士提出告訴。
Google 指出,Glupteba 以每天新增數千台裝置的速度成長,已經蔓延全球。它透過以冒充盜版軟體、Youtube 影片、惡意文件、流量管理系統軟體散布。一旦用戶安裝後就會竊取用戶資料及登入憑證、並在受害電腦、路由器上挖礦,或是設立代理伺服器以發送流量,像是散佈勒索軟體或是發動分散式阻斷服務 (DDoS) 攻擊。
此外,Google 調查發現 Glupteba 營運人士也提供一系列網路犯罪服務 (cybercrime as a service),像是出售以竊來的帳密存取虛擬機器 (virtual machine)、轉發伺服器、信用卡卡號,以及發送惡意 Google Ads 廣告及支付詐騙等。
為了中斷其營作,TAG 破壞了 Glupteba 的主要 C&C 網路,使營運人無法再指揮 Glupteba 網路。Google 安全副總裁 Royal Hansen 及法務長 Halimah DeLaine 指出,這次行動一共取締了散佈 Glupteba 的 6300 萬個 Google Docs、1,313 個 Google 帳號、908 個雲端專案及 870 個 Google Ads 帳號,他們也和 CloudFlare 等業者合作把伺服器,並在用戶點入惡意網域前插入警告網頁。
不過 Google 指出,Glupteba 使用區塊鏈技術這點值得注意,因為區塊鏈去中心的特性讓它得以從斷線後快速復原,也更難以關閉。
TAG 研究人員指出,Glupteba 的營運人士可能企圖利用備份的 C&C 架構重新拿回控制權,這個架構下,所有資料都儲存在區塊鏈上。其中 C&C 伺服器利用 HTTPS 和感染裝置通訊。一旦通訊中斷,感染系統就會從多個加密的比特幣電子錢包最新交易中取得備份網域以建立連線。
過去取締殭屍網路 Emotet 及 TrickBot 的經驗得知,這類殭屍網路可能在取締幾個月後死灰復燃。因此 Google 還多了一個動作,向紐約法院控告 Glupteba 的俄羅斯籍營運人 Dmitry Starovikov 和 Alexander Filippov。
目前人在俄羅斯的兩人被以電腦詐欺、濫用罪名及侵害商標、違反「反勒索及受賄組織法」(Racketeer Influenced and Corrupt Organizations, RICO) 法及干擾業務關係、不當獲利等罪名控告。
來源:ThreatPost