Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Glupteba: la botnet che sta facendo impazzire Google.

Davide Santoro : 11 Dicembre 2021 22:55

Google distrugge una botnet russa responsabile dell’infezione di un milione di macchine Windows.

Autore: Davide Santoro

Data Pubblicazione: 11/12/2021

Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011  per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Google si sta muovendo legalmente contro due soggetti russi accusati di essere dietro ad una sofisticata operazione botnet che è riuscita ad infiltrarsi silenziosamente in più di 1 milione di macchine Windows in tutto il mondo.

In una denuncia presentata alla Corte Distrettuale degli Stati Uniti per il Distretto Meridionale di New York, Google individua i cittadini russi Dmitry Starovikov ed Alexander Filippov come due dei principali operatori della botnet Glupteba, citando gli account Gmail e Google Workspace creati verosimilmente per sostenere l’attività criminale.

Inoltre Google ha affermato che gli imputati hanno utilizzato la rete botnet, che viene descritta come «un’incarnazione tecnologica moderna e senza confini del crimine organizzato» per scopi illeciti, tra cui il furto e l’utilizzo non autorizzato delle credenziali degli utenti Google, Google chiede che Starovikov e Filippov paghino i danni e siano permanentemente impossibilitati ad utilizzare i servizi Google.

La botnet Glupteba — che viene monitorata da Google dal 2020 — finora avrebbe infettato circa 1 milione di macchine Windows in tutto il mondo e starebbe crescendo ad un ritmo di migliaia di nuovi dispositivi infettati ogni giorno; una volta che un dispositivo viene infettato — solitamente inducendo gli utenti a scaricare da siti di download gratuito di «terze parti» — la botnet è in grado di rubare credenziali e dati dell’utente, di minare segretamente criptovalute e di impostare proxy con l’intento di incanalare il traffico Internet di altre persone attraverso macchine e router infetti.

Inoltre, nella sua denuncia Google ha aggiunto che «in qualsiasi momento la potenza della botnet Glupteba potrebbe essere utilizzata in un potente attacco ransomware o in un attacco denial of service distribuito», Google ha anche affermato che la botnet Glupteba si distingue rispetto alle altre botnet convenzionali proprio per il suo livello di «sofisticazione tecnica», derivante dall’utilizzo della tecnologia blockchain per proteggersi dalle interruzioni.

Oltre ad avviare un contenzioso contro la botnet Glupteba, il Threat Analysis Group(TAG) — che ha collaborato con successo con i provider di hosting Internet per colpire l’infrastruttura chiave di comando e controllo(C2) della botnet — della società ha osservato che la botnet prende di mira soprattutto vittime negli Stati Uniti, in India, in Brasile, in Vietnam ed in generale nel sudest asiatico, attualmente grazie agli sforzi del TAG di Google gli operatori non hanno più il controllo della botnet ma, come ha avvertito Google, Glupteba potrebbe tornare proprio grazie all’utilizzo della blockchain come meccanismo di resilienza.

Come ha affermato Google nella sua denuncia dettagliata «la botnet Glupteba non è basata solamente su domini web predeterminati per garantirsi la sopravvivenza» ma piuttosto «quando il server C2 della botnet viene colpito, il malware Glupteba è stato codificato per cercare all’interno della blockchain pubblica di Bitcoin le transazioni che coinvolgono tre specifici indirizzi Bitcoin controllati da Glupteba Enterprise. Quindi la botnet Glupteba non può essere sradicata del tutto senza che sia neutralizzata la sua infrastruttura basata su blockchain».

Quest’operazione rappresenta la prima operazione ufficiale di Google contro una botnet ed arriva il giorno dopo la dichiarazione di Microsoft di aver preso il controllo di siti web dannosi che venivano utilizzati da hacker sostenuti dalla Cina per colpire governi ed organizzazioni per i diritti umani negli Stati Uniti ed in altri 28 paesi.

Operazione distruggere Glupteba

Google è intervenuta con successo nella campagna contro Glupteba, una botnet multicomponente ideata per i computer Windows e riteniamo che quest’operazione avrà un impatto significativo sulle operazioni di Glupteba, tuttavia, riteniamo plausibile che gli operatori di Glupteba tentino di riprendere il controllo della botnet utilizzando un comando di backup ed un meccanismo di controllo che utilizzi i dati codificati all’interno della blockchain di Bitcoin.

L’operatività di Glupteba si concentra soprattutto sul furto di credenziali e cookies, sul minare criptovalute sfruttando host infetti e sulla distribuzione ed utilizzo di componenti proxy che colpiscono sistemi Windows e dispositivi IoT.

La famiglia di malware Glupteba viene distribuita principalmente tramite reti pay per install(PPI) e tramite traffico acquistato da sistemi di distribuzione del traffico(TDS), per un periodo di tempo, abbiamo potuto osservare migliaia di istanze di download dannosi di Glupteba ogni giorno, come ad esempio l’immagine seguente che mostra una pagina web che imita un download di crack per un software e che invece del software offre agli utenti una variante di Glupteba.


Figura 1: Esempio di offerta di software craccato che distribuisce Glupteba

Mentre venivano analizzati i binari di Glupteba, il nostro team è stato in grado di identificarne alcuni contenenti il seguente repository git “git.voltronwork.com”. Quest’importante scoperta ci ha permesso di dare il via ad un’indagine che ci ha portato ad identificare – con grande sicurezza – una moltitudine di servizi online offerti dalle persone che gestiscono la botnet Glupteba; tra questi servizi troviamo la vendita dell’accesso a macchine virtuali create con credenziali rubate(dont[.]farm), l’accesso proxy(awmproxy) e la vendita di numeri di carte di credito(extracard) da utilizzare per altre attività dannose come la pubblicazione di annunci dannosi e le frodi nei pagamenti su Google Ads.


Figura 2: Esempio di truffa di criptovaluta caricato su Google Ads dagli operatori di Glupteba

L’anno scorso il TAG ha collaborato con il Cybercrime Investigation Group di Google con l’intento di interrompere l’attività di Glupteba che coinvolgeva i servizi Google, così siamo stati in grado di eliminare circa 63 milioni di documenti Google(Google Docs) che stavano distribuendo Glupteba, oltre a 1.183 account Google, 908 progetti cloud e 870 account di Google Ads tutti coinvolti nella distribuzione di Glupteba. Inoltre, sfruttando gli avvisi di Google Safe Browsing abbiamo avvisato oltre 3.5 milioni di utenti che stavano scaricando un file dannoso.

Negli ultimi giorni, il nostro team ha collaborato con numerosi provider di infrastrutture Internet e di hosting – tra i quali Cloudflare – per interrompere l’operatività di Glupteba abbattendo i server ed inserendo pagine di avviso davanti ai nomi di dominio dannosi. Inoltre, durante questo periodo sono stati chiusi altri 130 account Google coinvolti in Glupteba.

In parallelo con le attività di analisi, monitoraggio e distruzione tecnica di questa botnet, Google ha avviato una causa contro due individui che si ritiene si trovino in Russia per aver gestito la botnet Glupteba ed i suoi vari schemi criminali.

Sebbene queste azioni potrebbero non fermare completamente Glupteba, il TAG stima che questi sforzi combinati influenzeranno notevolmente le capacità dell’attore di effettuare operazioni future.

Il meccanismo di backup della C2 di Glupteba

La comunicazione della centrale di comando e controllo(C2) di questa botnet utilizza HTTPS per comunicare comandi ed aggiornamenti binari tra i server di controllo ed i sistemi infetti. Inoltre, per aggiungere resilienza alla loro infrastruttura, gli operatori hanno implementato un meccanismo di backup sfruttando la blockchain di Bitcoin per cui, nel caso in cui i server principali C2 non rispondano, i sistemi infetti potranno recuperare i domini di backup crittografati nell’ultima transazione dai seguenti indirizzi di portafogli Bitcoin:

  • ‘1CgPCp3E9399ZFodMnTSSvaf5TpGiym2N1’ [1]
  • ’15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6’ [2]
  • ‘1CUhaTe3AiP9Tdr4B6wedoe9vNsymLiD97’ [3]

Le seguenti chiavi AES a 32 byte per la decrittazione sono state codificate nei binari:

  • ‘d8727a0e9da3e98b2e4e14ce5a6cf33ef26c6231562a3393ca465629d66503cf’
  • ‘1bd83f6ed9bb578502bfbb70dd150d286716e38f7eb293152a554460e9223536’

I dati OP_RETURN della transazione blockchain possono essere decrittografati utilizzando AES-256 GCM per fornire un comando di backup e controllare il nome del dominio. I primi 12 byte di OP_RETURN contengono l’IV, gli ultimi 12 byte il tag GCM, mentre la sezione centrale è il dominio crittografato(AES-256) GCM.

I dettagli completi del funzionamento del protocollo di rete di Glupteba si trovano in questo rapporto del 2020 ed il seguente script Python illustra come si può decrittografare il nome di un dominio criptato:

IoC (Indici di compromissione)

Domini utilizzati per il comando e controllo:

• nisdably[.]com

• runmodes[.]com

• yturu[.]com

• retoti[.]com

• trumops[.]com

• evocterm[.]com

• iceanedy[.]com

• ninhaine[.]com

• anuanage[.]info

Recenti hash SHA256 di campioni del malware:

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

Nuove azioni per combattere il cybercrime

Siamo intervenuti con forza per distruggere Glupteba, una sofisticata botnet che prende di mira le macchine Windows e si protegge utilizzando la tecnologia blockchain, le botnet rappresentano una vera minaccia per gli utenti di Internet e richiedono numerosi sforzi dell’industria e delle forze dell’ordine per essere abbattute.

Abbiamo portato avanti un lavoro per proteggere le persone che utilizzano i servizi Google tramite Windows o altri dispositivi IoT ed il nostro Threat Analysis Group ha adottato numerose misure per poter rilevare e tenere traccia delle attività di Glupteba nel corso del tempo; grazie alle nostre ricerche ed alla nostra comprensione delle operazioni di questa botnet oggi ci troviamo in una posizione unica per poterla interrompere e per salvaguardare gli utenti Internet in tutto il mondo.

Attualmente stiamo procedendo seguendo due percorsi paralleli, inanzitutto ci stiamo coordinando con partner del settore per poter intraprendere azioni tecniche ed in secondo luogo stiamo utilizzando le nostre risorse per poter avviare un contenzioso – che costituirà la prima causa legale contro una botnet che utilizza la blockchain – che pensiamo possa creare un precedente giuridico, andando a creare responsabilità legali per gli operatori di botnet ed a scoraggiare eventuali attività future.

Alcune informazioni sulla botnet Glupteba

Una botnet è essenzialmente una rete di dispositivi connessi ad Internet che sono stati infettati da un tipo di malware che li pone sotto il controllo di malintenzionati che potranno quindi utilizzare i dispositivi infetti a scopi dannosi come rubare i tuoi dati personali o commettere frodi utilizzando la tua rete domestica.

Dopo approfondite indagini, abbiamo potuto determinare che la botnet Glupteba coinvolge attualmente circa 1 milione di dispositivi Windows in tutto il mondo ed alcuni giorni cresce a ritmo di migliaia di dispositivi al giorno.

L’azione tecnica

Ci siamo coordinati attivamente con partner del settore per poter intraprendere azioni tecniche, il che significa che siamo riusciti ad interrompere l’infrastruttura di comando e controllo e che – attualmente – gli operatori di Glupteba non dovrebbero più avere il controllo della loro botnet; tuttavia, è bene sottolineare che, a causa della sofisticata infrastruttura di Glupteba, abbiamo anche deciso di intraprendere un’azione legale contro i suoi operatori che riteniamo possa scoraggiarli dal fatto di approfittare di utenti ignari.

Strategia legale e distruzione

Abbiamo intentato una causa contro gli operatori della botnet che crediamo sia basata in Russia, la causa che abbiamo intentato nel distretto meridionale di New York riguarda frode informatica ed abuso oltre a violazione di marchi ed altri reclami; inoltre, abbiamo presentato un ordine restrittivo temporaneo che possa permetterci di rafforzare i nostri sforzi per l’interruzione tecnica della botnet; se la nostra azione avrà successo, questo creerà un precedente ed una reale responsabilità legale per gli operatori di botnet.

L’impegno per rendere Internet un posto più sicuro

Come già detto in precedenza, sfortunatamente, l’utilizzo della tecnologia blockchain da parte degli operatori di Glupteba come meccanismo di resilienza è notevole e sta diventando una pratica sempre più comune tra le organizzazioni di criminalità informatica.

La natura decentralizzata della blockchain consente alla botnet di riprendersi più rapidamente in caso di guasti ed interruzioni e la rende indubbiamente molto più difficile da chiudere, tuttavia, stiamo lavorando con i nostri partner del settore e con il governo nel combattere questo tipo di comportamento affinché, anche se Glupteba dovesse tornare, Internet sarà protetto contro questa botnet.

Il nostro obiettivo principale è quello di sensibilizzare e di creare consapevolezza su queste problematiche per proteggere i nostri utenti e l’ecosistema in generale e per poter prevenire future attività dannose.

A questo proposito vogliamo precisare che non ci limitiamo a tappare buchi di sicurezza ma lavoriamo duramente per eliminare intere classi di minacce per i consumatori e per le aziende il cui lavoro dipende da Internet. Abbiamo team di analisti ed esperti di sicurezza che si dedicano all’identificazione ed a bloccare minacce come DDoS, campagne di phishing, vulnerabilità zero-day ed attività di hacking contro Google, i nostri prodotti ed i nostri utenti.

Intraprendere azioni proattive come questa contro Glupteba è fondamentale per garantire la nostra sicurezza, siamo perfettamente consapevoli delle minacce che Internet deve affrontare e stiamo facendo attivamente la nostra parte per affrontarle.

Fonti:

https://techcrunch.com/2021/12/07/google-disrupts-russian-botnet-that-infected-1-million-windows-machines/

https://blog.google/threat-analysis-group/disrupting-glupteba-operation/

https://blog.google/technology/safety-security/new-action-combat-cyber-crime/

Davide Santoro
Da sempre patito di sicurezza informatica e geopolitica cerca da sempre di unire queste due passioni, ultimamente ho trovato soddisfazione nell’analisi dei gruppi ransomware, si occupa principalmente di crittografia ed è un sostenitore del software libero.