Эксперты компании Symantec зафиксировали группу сетевых преступников, которые использовали сервис Google Groups в роли командного центра для вредоносного ПО, заражающего компьютеры.
Как сообщает сайт Сybersecurity.ru, этот пример является очередным доказательством того, что киберпреступники изменяют принципы взаимодействия с бот-сетями.
Ранее аналогичный механизм использовался на сервисе Twitter: один из блогов представлял собой командный центр для выдачи команд троянцам, которые атаковали ИТ-ресурсы. По оценкам Symantec, в перспективе популярность блогерских сервисов в качестве C&C-механизмов (Comand and Control) значительно возрастет, поэтому администраторам сервисов нужно будет регулярно блокировать «бот-конференции» и «бот-блоги».
«Наблюдая такие «находки», сразу вспоминаются сюжеты шпионских фильмов, когда агенты обменивались друг с другом важной информацией посредством газеты и ключевых словах в статьях. Современные хакеры постепенно перенимают этот способ, но уже на интернет-пространстве: тексты в блогах являются набором данных, доступным для просмотрам всем, но предназначенным исключительно для троянцев», – говорит технический директор Symantec Security Response Зулькифар Рамзан.
«Этот метод привлекателен тем, что хакерам не нужно тратить средства на выделенный командный сервер», – добавляет он.
В случае с сервисом Google Groups злоумышленники использовали его для управления трояном Trojan.Grups, который представляет собой вредоносный код под Windows. Суть его заключается в том, что троян открывает путь к инфицированным компьютерам с целью подселения туда других злонамеренных кодов. После проникновения на ПК, он читает сообщения на конференции в Google Groups, где имеются для него команды. Как только команда выполнена, троянец отсылает в конференцию отчет о работе.
«Важным моментом данной атаки является применение устойчивого шифра RC4, с помощью которого шифровалось «общение»: командный центр размещал зашифрованные таким способом сообщения, а троянец аналогичным зашифрованным сообщением отвечал», – комментируют в Symantec. Такие шаги в первую очередь свидетельствуют о том, что злоумышленники готовы предпринимать новые попытки сокрытия своей деятельности.
Главным недостатком нового метода является полное сохранение всей истории «переписки» командного центра и троянца, что делает возможным отслеживание всех шагов. В случае с Trojan.Grups эксперты считают, что его авторы территориально находятся в Тайване, поскольку дешифровка сообщений показала, что они отправляются в зону .tw. При этом ряд других моментов говорят, что оригинал кода был написан на китайском.
