Botnet, grupa urządzeń zainfekowanych złośliwym oprogramowaniem. Potężne i wszechobecne skrypty złośliwego kodu zaprojektowane przez magików kodowania, są używane przez zdolnych aktorów, tworząc ogromne zagrożenie. W konwencjonalnym sensie botnet to rodzaj złośliwego backdoora, który został zainstalowany na dużej liczbie zainfekowanych urządzeń podłączonych do Internetu.

Może to pozwolić na przeprowadzanie ataków typu Distributed Denial-of-Service (DDoS). Rejestrowanie aktywnych sesji użytkownika i kradzież danych osobowych z zainfekowanego urządzenia, rozsyłanie spamu i uzyskiwanie dostępu do innych systemów w sieci, aby mógł się dalej rozprzestrzeniać. Dodając więcej maszyn do swojej sieci, kreator oprogramowania może je kontrolować z jednego serwera głównego. Z tego powodu botnet jest również nazywany „armią zombie”.

Jindrich Karasek, badacz cyberzagrożeń w firmie Trend Micro zajmującej się cyberbezpieczeństwem, przez cały sierpień monitorował aktywność szkodliwego oprogramowania ukierunkowanego na wydobywanie kryptowalut, po czym podzielił się swoimi odkryciami z BeInCrypto.

Po skonfigurowaniu środowiska Honeypot, które umożliwiło Karasekowi symulowanie podłączonych urządzeń z Androidem, nieznany aktor podjął kilka prób włamania, aby prawdopodobnie zainstalować nielegalny botnet do wydobywania kryptowalut.

Zdaniem naukowca wydaje się, że niektórzy cyberprzestępcy przenieśli swoją uwagę z włamań do systemów komputerowych na dostęp do urządzeń z systemem Android, takich jak telefony, tablety, czy telewizory smart. Nic dziwnego, ponieważ całe życie osobiste ludzi ogranicza się do ich inteligentnych urządzeń.

Przyczyną takiego posunięcia może być to, że urządzenia są w dużej mierze pozostawione bez ochrony, ponieważ często zabezpieczenia antywirusowe pozostają nieobecne, co czyni je podatnymi na ataki.

Z tego powodu złośliwe oprogramowanie może atakować urządzenia, wyszukując otwarte porty Android Debug Bridge (ADB) i ma możliwości rozprzestrzeniania, wykorzystując Secure Socket Shell (SSH), który jest kryptograficznym protokołem sieciowym zapewniającym bezpieczne zdalne logowanie, nawet w przypadku niezabezpieczonej sieci.

Jest to możliwe, ponieważ otwarte porty ADB nie wymagają domyślnie kluczy uwierzytelniających. Daje to możliwości rozprzestrzeniania się botnetu Satori, znanego również jako „Masuta”, odmiany botnetu Mirai. Mirai trafił na pierwsze strony gazet w zeszłym roku w czerwcu tego roku, kiedy kilku operatorów botnetów zostało aresztowanych za zainfekowanie setek tysięcy podatnych na ataki routerów bezprzewodowych i innych urządzeń podłączonych do Internetu rzeczy (IoT).

Rusza wszechstronne szkodliwe oprogramowanie Cryptojacking

Szkodliwe oprogramowanie Cryptojacking jest obecne na scenie od lat. Znajduje sposób na włamanie się do urządzeń sieciowych ludzi, zakopuje się w systemie, a następnie zaczyna kraść zasoby i oczywiście zbiera kryptowaluty w nielegalny sposób. W ciągu pierwszych sześciu miesięcy 2019 roku cyberprzestępcy przeprowadzili podobno 52,7 miliona ataków Cryptojacking.

Karasek wyjaśnił szczegóły w odniesieniu do jednego botnetu do eksploracji kryptowalut, wyjaśniając, że próbuje włamać się do różnych architektur IoT i układów mobilnych, takich jak architektury ARM, x86, m68k, mips, msp, ppc i sh4.

Według badacza adres IP podmiotu zagrażającego skanował Internet w poszukiwaniu otwartych portów ADB z urządzeń z Androidem połączonych z Internetem.

Podobnie jak w przypadku wszystkich górników, botnet wykorzystuje technikę unikania, która zmniejsza moc obliczeniową urządzenia z Androidem. Rekonfiguruje zasoby systemowe w celu wydajniejszego działania i zapewnienia własnego istnienia, pozostając tak niepozornym, jak to tylko możliwe.

Omówił sposób, w jaki bot mógłby skutecznie infekować użytkowników Androida, wyjaśniając, że zabezpieczenia urządzeń z Androidem zazwyczaj nie są skonfigurowane w taki sposób, aby umożliwić osobie będącej zagrożeniem przeskakiwanie z urządzenia na urządzenie przez sieć. Jednak idealną metodą rozpowszechniania byłby publiczny punkt dostępu bezprzewodowego. Karasek kontynuował:

Wyobraź sobie lotnisko, ogromną salę konferencyjną lub centrum handlowe. Mogą mieć wiele wyświetlaczy, telewizorów [i innych urządzeń] opartych na systemie Android podłączonych do sieci w celu lepszej administracji. Lub starsze urządzenia z Androidem, lekkomyślnie podłączone do sieci bez żadnej ochrony. Tak właśnie się dzieje.

W miarę jak narracja oprogramowania się zagłębia, Karasek zauważył, że kod źródłowy botnetu został napisany bardzo prosto, co oznacza, że nie ma żadnych unikalnych cech, które często pojawiają się u autorów kodu, którzy opracowują swój własny, unikalny styl, w podobny sposób, że literatura napisana przez znanych autorów rezonuje z pewną osobowością, która jest wyjątkowa dla ich indywidualnego stylu pisania. Karasek powiedział:

Część jego logiki została zauważona w grupie Outlaw, ale w rzeczywistości równie dobrze mogą oni udostępniać kod wykorzystany przez dzieciaki w szkole. Ataki takie jak ten wiążą się z dużym zaufaniem do działań cyberprzestępców, a nie do działań związanych z APT. Głównie chodziło o Monero, Litecoin i Bitcoin.

Według Karaseka aktywność botnetu nie jest specyficzna dla danego kraju. „Według moich szacunków popartych doświadczeniem zysk nie przekracza tysięcy dolarów. Takie wydobycie nie jest już zbyt efektywne. Jednak wystarczy, aby obsłużyć niewielką grupę operatorów, ale nie wystarczy, aby wygenerować zysk dla dużej organizacji ”- podsumował.

Monero (XMR) trafiło na pierwsze strony gazet na początku tego roku, częściowo dzięki pojawieniu się nowego botnetu do kryptowalut, nazwanego „Prometei” przez naukowców pracujących w Cisco Talos.

W 2018 roku kryptowalutowy botnet znany jako Smoninru rozprzestrzenił się do pół miliona urządzeń komputerowych, które przejęły kontrolę nad urządzeniami i zmusiły je do wydobycia blisko 9000 monet Monero. Właściciele urządzeń nie wiedzieli, że ich urządzenia zostały naruszone.

Według badań opublikowanych przez naukowców z Hiszpanii i Wielkiej Brytanii od 2019 roku Monero był preferowaną kryptowalutą wśród cyberprzestępców w podziemnych gospodarkach. W tamtym czasie ponad 4% całej XMR znajdującej się w obiegu było wydobywane przez botnety i operacje cyberprzestępcze, z czego 57 milionów dolarów XMR zostało wypłaconych przez przestępców.

Atrakcyjnym celem są również superkomputery

Smartfony, tablety, telewizory Smart TV i komputery osobiste to nie jedyne urządzenia, których cyberprzestępcy szukają, aby przenosić swoje programy do kopania kryptowalut. W końcu, jeśli moc obliczeniowa jest niezbędna w kopaniu kryptowalut, komputery o największej mocy są oczywistym celem.

W dzisiejszych czasach nie powinno dziwić, że cyberprzestępcy atakują superkomputery, które zapewniają najszybsze obliczenia na świecie. W konwencjonalnym sensie superkomputery są zwykle używane do wykonywania obliczeń naukowych tysiące razy szybciej niż tradycyjne komputery PC.

Dlatego superkomputery są w oczywisty sposób idealnym celem w umyśle nielegalnego kopacza kryptowalut, który chce skorzystać z ich ekstremalnej mocy obliczeniowej.

Na przykład szybkość działania superkomputera jest zwykle mierzona w operacjach zmiennoprzecinkowych na sekundę, zwanych „FLOPS”, w przeciwieństwie do miliona instrukcji na sekundę.

Aby spojrzeć na to z perspektywy, weźmy na przykład najszybszy superkomputer na świecie, znany jako The Titan, superkomputer Cray Titan w Oak Ridge National Laboratory z Tennessee, który jest w stanie wykonać 27 000 bilionów obliczeń na sekundę, to teoretyczny szczyt prędkość 27 petaflopów.

Jak donoszono, ofiary w Stanach Zjednoczonych, Kanadzie, Chinach, częściach Europy, Wielkiej Brytanii, Niemczech i Hiszpanii wydają się być celem niedawnych ataków botnetów kryptograficznych przeciwko wysokowydajnym laboratoriom obliczeniowym.

Eksperci ds. Bezpieczeństwa badający włamania stwierdzili, że wydaje się, iż wszystkie te incydenty dotyczyły zagrożeń wykorzystujących skradzione dane uwierzytelniające SSH pobrane od autoryzowanych użytkowników, wśród których mogą być naukowcy z uniwersytetów i ich współpracownicy.

Naukowcy przeprowadzili testy swoich systemów, aby określić, czy mogą wykryć złośliwe oprogramowanie, porównując znany, nieszkodliwy kod ze złośliwym skryptem wydobywającym Bitcoin. Z kolei byli w stanie ustalić, że ich systemy mogą bezzwłocznie zidentyfikować złośliwy kod, co okazało się bardziej niezawodne niż przy użyciu konwencjonalnych testów.

Włamania do superkomputerów spowodowały, że musiano je wyłączyć, aby można było zbadać ataki. Przełączenie superkomputerów w tryb offline pozwala śledczym na wyodrębnienie złośliwego kodu, skutecznie odcinając hakerowi możliwość wysyłania poleceń do zainfekowanych komputerów lub usuwania dowodów włamania.

Kiedy fakty zostaną ujawnione, zrozumiałe jest założenie, że użytkownicy i osoby reagujące na incydenty przegrywają walkę z tymi złymi aktorami. Jednak nic nie może być dalsze od prawdy.

Reagujący na zagrożenia cybernetyczne walczą z własną bronią przeciwdziałającą. Na przykład w zeszłym miesiącu informatycy z Los Alamos National Laboratory byli w stanie zaprojektować nowy, najnowocześniejszy system sztucznej inteligencji (AI), który może potencjalnie identyfikować złośliwe oprogramowanie, którego celem jest penetracja superkomputerów w celu poszukiwania kryptowaluty.

Gopinath Chennupati, badacz z Los Alamos National Laboratory, powiedział:

Opierając się na niedawnych włamaniach do komputerów w Europie i innych krajach, ten typ oprogramowania nadzorującego wkrótce będzie miał kluczowe znaczenie dla zapobiegania włamywaniu się do wysokowydajnych obiektów obliczeniowych i kradzieży cennych zasobów komputerowych. Nasz model sztucznej inteligencji do głębokiego uczenia się jest przeznaczony do wykrywania nadużyć superkomputerów specjalnie do celów wydobywania kryptowalut.

Znajdowanie nowych sposobów zarówno ataku, jak i ochrony

Opinie są podzielone co do bezpieczeństwa urządzeń z systemem Android. Miliardy ludzi używają smartfonów lub tabletów z Androidem, z wieloma starszymi modelami telefonów, których nie można zaktualizować za pomocą najnowszego oprogramowania układowego lub najnowszych poprawek i aktualizacji zabezpieczeń, co nie uwzględnia liczby użytkowników Androida, którzy z preferencji opóźniają obowiązkowe aktualizacje, co naraża ich urządzenia na możliwe ataki.

Pomiędzy osobistymi zdjęciami, wiadomościami, zapisanymi hasłami i portfelami elektronicznymi, które stały się niezbędnymi elementami umożliwiającymi użytkownikom interakcję społeczną i ekonomiczną, gdy nieznany aktor zagrażający włamuje się i uzyskuje dostęp do tego rodzaju „cyfrowego planu”, który określa naszą przestrzeń osobistą, jest to odbierane jako ostateczne naruszenie. Dodajmy do tego kradzież ciężko zarobionych pensji danej osoby, a jej skutki będą katastrofalne na poziomie osobistym.

Z drugiej strony, nawet jeśli źli aktorzy mnożą się i odkrywają nowe sposoby wykorzystania użytkowników i ich inteligentnych urządzeń lub superkomputerów uniwersyteckich, badacze bezpieczeństwa są obecni, opracowują i wdrażają nowe innowacje, które mają pomóc zarówno użytkownikom, jak i całej branży zyskać przewagę w tej zaciętej walce między cyberprzestępcami a połączonym światem, w którym żyjemy.