Группа исследователей из SophosLabs заявляет, что хакеры, использующие вредоносное ПО для шифрования, Glupteba, используют сеть биткойн-блокчейнов для тайного общения.
Согласно отчету опубликованный 24 июня киберпреступники полагаются на центр управления и контроля, куда они отправляют зашифрованные секретные сообщения, для которых требуется 256-битный ключ расшифровки AES.
Зашифрованные сообщения, используемые для обновления вредоносных программ
Назначение канала связи – для хакеров получать обновленную информацию о конфигурации для вредоносных программ. Эти данные используются злоумышленниками для получения точных инструкций и обновления вредоносного программного обеспечения.
Glupteba – это так называемый робот-зомби или программный робот, которым можно управлять дистанционно. Он имеет различные функции, такие как руткит, подавитель безопасности, вирус, инструмент для атаки на маршрутизатор, браузер-похититель и инструмент для крипто-взлома.
Образец зашифрованного сообщения – Источник: SophosLabs
SophosLabs подробно объясняет любопытную особенность:
«Glupteba использует тот факт, что транзакции Биткойн записываются в блокчейн Биткойн, который является публичной записью транзакций, доступных из множества источников, которые безупречно доступны из большинства сетей. «Транзакции» биткойнов не обязательно должны быть связаны с деньгами – они могут включать поле RETURN, также известное как OP_RETURN, которое фактически является комментарием длиной до 80 символов ».
Будущий поставщик вредоносных программ как поставщик услуг?
Тем не менее, фирма кибербезопасности предупреждает, что вредоносные программы могут использовать эту функцию в качестве дополнительной выгоды для ее коммерциализации.
Эндрю Брандт, главный исследователь SophosLabs, рассказал ZDNet:
«Я бы сказал, что злоумышленники Glupteba стремятся представить себя в качестве поставщика вредоносных программ как поставщика услуг другим производителям вредоносного ПО, которые ценят долговечность и скрытность по сравнению с шумным быстрым финалом, например, полезной нагрузки вымогателей».
Но это не первый случай, когда сеть блокчейнов используется для отправки сообщений в криптосфере. 25 мая сообщение, подписанное 145 кошельками с биткойнами (BTC) из нескольких ранних блоков, назвало Крейга Райта «лжецом и обманщиком».