Internet gigant Google heeft in een blog bekend gemaakt dat het actie aan het ondernemen is tegen het botnet Glupteba. Wereldwijd gezien heeft dit zeer geavanceerde botnet inmiddels al zo’n miljoen Windows systemen geïnfecteerd. Het botnet beschermt zichzelf via blockchaintechnologie. Google zegt niet alleen op technisch vlak actie te ondernemen maar zal ook juridische stappen zetten.
Inhoudsopgave
Botnet Glupteba al jaren actief
Botnet Glupteba is al een flink aantal jaren actief. Reeds in 2011 werd het botnet gesignaleerd door het toenmalige cyberbeveiligingsbedrijf Sophos. Toentertijd was al duidelijk dat de malware dusdanig was opgezet dat het acties om de malware van een geïnfecteerde computer te verwijderen, flink kon dwarszitten.
Volgens het onderzoek dat Google deed, bestaat botnet Glupteba wereldwijd gezien naar schatting uit om en nabij de één miljoen gecompromitteerde Windows computers. Er zijn dagen dat er wel duizend nieuwe systemen bijkomen.
Het botnet is berucht om het feit dat ze de login- en persoonsgegevens van argeloze gebruikers stelen maar ook het delven van cryptomunten en het omleiden van het internetverkeer van andere personen of instellingen door machines en routers die met de malware zijn geïnfecteerd.
Maar botnet Glupteba treft ook allerlei maatregelen om onzichtbaar te zijn voor de detectiefunctie van de verschillende antiviruspakketten. Ook is vastgesteld dat er willekeurige opdrachten worden gepusht vanaf de server die door de aanvaller wordt gecontroleerd. Een heel opvallend feit is dat botnet Glupteba Bitcoin blockchain gebruikt als back-up voor hun eigen command-and-control systeem.
De malware is zodanig in elkaar gezet dat het de openbare Bitcoin-blockchain kan doorzoeken op bepaalde transacties die drie wallet-adressen hebben en waarvan de dreigingsactor de eigenaar is. Zodoende kan men het versleuteld command-and-control-adres op te server verkrijgen.
Actieve aanpak van Google
Botnet Glupteba maakte kennelijk ook gebruik van de verschillende diensten van Google om de software te distribueren. Hierop heeft de internet gigant dus actie ondernomen.
Naar verluidt, heeft Google het afgelopen jaar zo’n 63 miljoen Google documenten verwijderd. Hierbij ging het dan met name om de met malware geïnfecteerde documenten. Google heeft daarnaast ook nog eens zo’n 900 Cloud Projects, 1.200 accounts en bijna 900 Google Ads-accounts verwijdert. Het betreft alle accounts die aan de verspreiding van malware gelinkt kunnen worden.
Deze gigantische klus, kon Google niet alleen klaren. Om de geïnfecteerde documenten te kunnen opsporen, heeft het bedrijf dan ook met diverse partijen zoals CloudFlare en diverse hostingproviders samengewerkt. Hierna heeft men alle servers waarop deze documenten werden gedeeld, uit de lucht gehaald.
Rechtszaak tegen beheerders van het botnet
Naast bovengenoemde acties liet Google weten dat zij ook een rechtszaak hebben aangespannen tegen twee beheerders van Glupteba. Het zou gaan om Dmitry Starovikov en Alexander Filippov, beiden afkomstig uit Rusland. Deze personen zouden, zo is uit het onderzoek van Google gebleken, samen met 15 andere personen verantwoordelijk zijn voor het beheer van het botnet.
De zaak die het bedrijf aanspande, heeft betrekking op onder meer computerfraude en -misbruik, inbreuk op handelsmerken en nog een aantal andere claims. Google heeft tevens een tijdelijk contactverbod aangevraagd. Aangezien het feit dat momenteel de rechtszaak nog in volle gang is, is het op dit moment nog geen zinnig woord te zeggen over een mogelijke uitspraak.
De strijd tegen botnets is een heel lastige en complexe strijd. Dit bleek bijvoorbeeld het afgelopen voorjaar maar weer. De Duitse autoriteiten namen toen samen met Interpol het Emotet-botnet over, en wisten ook de gelijknamige malware van alle geïnfecteerde computers te verwijderen.
Afgelopen maand kwamen er echter weer volop signalen dat het botnet weer aan het groeien is. Verschillende onderzoekers komen dan ook met waarschuwingen voor mogelijk nieuwe aanvallen via het botnet. Ze zijn dan ook bang dat er wederom een zeer grootschalige malware, spam en ransomeware campagne in aankomst is.
Dit maakt maar weer eens duidelijk dat de strijd dus nog lang niet is gestreden en we dus goed op onze hoede moeten blijven.
https://www.youtube.com/watch?v=5eyDWWxvLa0