Хакеры пользуются блокчейном биткоина для скрытого обмена сообщениями между своим ПО и командным центром, удалось выяснить исследователям из компании Sophos Labs.
Речь идёт о вредоносном ПО Glupteba, «которое использует почти все известные уловки киберпреступников и, возможно, ещё несколько». Glupteba является разновидностью бота, который может дистанционно контролироваться своими создателями. Также он содержит в себе руткит для сокрытия следов присутствия, подавитель безопасности для отключения «Защитника Windows» и антивирусного ПО, вирус для автоматического распространения, инструменты атаки роутеров, инструменты для кражи данных из браузеров и скрытый майнер.
Наибольший интерес, однако, представляет выбор блокчейна биткоина в качестве канала для коммуникаций, через который поступают обновления конфигурации.
«Glupteba пользуется тем фактом, что транзакции биткоина записываются в публичный блокчейн, данные которого могут быть считаны из большинства сетей. Транзакции биткоина не обязательно должны быть связаны с деньгами. Они могут включать поле “OP_RETURN”, которое, по сути, является комментарием, содержащим до 80 символов», – объясняют Sophos Labs.
Как установили исследователи, рассматриваемые транзакции содержат секретное сообщение, для расшифровки которого требуется специальный ключ, встроенный в Glupteba.
Пример расшифровки сообщения, скрытого в блокчейне биткоина
«Плохая новость заключается в том, что Glupteba имеет множество защитных компонентов, которые затрудняют его обнаружение в логах безопасности. С другой стороны, эти сложности делают такое ПО менее надёжным и, как ни парадоксально, более доступным для обнаружения в определённый момент», – заключают Sophos Labs.
