Google hindert blockchain ‘Glupteba’ Botnet en klaagt hackers aan

Naar verluidt heeft Google stappen ondernomen om de operaties van een geavanceerd botnet met de naam ‘Glupteba’ te verstoren. Dit botnet heeft wereldwijd ongeveer een miljoen Windows-computers geïnfecteerd en zijn ‘command-and-control’ serveradressen op de blockchain van Bitcoin (BTC) opsloeg als een veerkracht mechanisme.

63 miljoen Google-documenten verwijdert

In het afgelopen jaar heeft Google naar verluidt ongeveer 63 miljoen Google-documenten verwijdert. Het gaat daarbij specifiek om documenten die geïnfecteerd waren met malware. Hiernaast heeft Google ongeveer 1.200 accounts verwijderd, ruim 900 Cloud Projects verwijderd en bijna 900 Google Ads-accounts verwijdert. Het gaat allemaal om accounts die gelinkt kunnen worden aan de verspreiding van malware.

Om de geïnfecteerde bestanden op te sporen, heeft Google samengewerkt met diverse partijen, waaronder CloudFlare en diverse hostingproviders. Vervolgens hebben zij de servers waarop deze bestanden gedeeld waren verwijdert.

Rechtszaak tegen Russische individuen

Hiernaast heeft Google ook laten weten dat zij een rechtszaak gestart zijn tegen twee individuen uit Rusland. Deze individuen, Dmitry Starovikov en Alexander Filippov, zouden verantwoordelijk zijn voor het beheer van het botnet, samen met 15 andere verdachten. De onderzoekers van Google zeiden het volgende over het botnet:

“Glupteba staat erom bekend gebruikersgegevens en cookies te stelen, cryptocurrencies op geïnfecteerde hosts te delven, proxycomponenten te implementeren en te gebruiken die gericht zijn op Windows-systemen en Internet of Things (IoT)-apparaten.”

Actief sinds ten minste 2011

Glupteba is tevens al meerdere jaren in omloop. Het botnet werd als eerste in 2011 gedetecteerd door destijds het cyberbeveiligingsbedrijf Sophos. Destijds werd al benoemd dat de malware “in staat was om de pogingen om het van een geïnfecteerde machine te verwijderen voortdurend te dwarsbomen. Glupteba neemt ook verschillende benaderingen om laag te blijven en niet opgemerkt te worden.” Alhoewel het botnet als eerste in 2011 gedetecteerd werd, zou het kunnen dat het al veel langer actief was, maar nooit opviel.

Zo neemt het botnet maatregelen om ontzichtbaar te blijven voor de detectie van antivirusoplossingen, maar zijn ze ook ontworpen om willekeurige opdrachten uit te voeren die door een door een aanvaller gecontroleerde server worden gepusht. Glupteba valt hiernaast ook op door het feit dat de malware de blockchain van Bitcoin gebruikt als een back-up van hun command-and-control systeem.

De malware is geprogrammeerd om de openbare Bitcoin-blockchain door te zoeken op transacties met drie (3) wallet-adressen die eigendom zijn van de dreigingsactor om het versleutelde command-and-control-serveradres op te halen.

Gezien het feit dat de rechtszaak op dit moment nog loopt, is het onbekend wat de uitslag precies zal gaan zijn.