Сегодня 25 декабря 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → ботнет

Европол отключил 2000 вредоносных доменов киберпреступников

В результате крупнейшей в истории международной операции правоохранительных органов под кодовым названием «Операция Финал» были отключены самые влиятельные ботнеты, использовавшиеся для распространения вредоносного ПО и вымогательства денежных средств в крупном размере.

 Источник изображения: Kandinsky

Источник изображения: Kandinsky

Среди отключенных ботнетов — IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee и Trickbot. Эти вредоносные программы использовались как минимум 15 группами вымогателей, такими как BlackBasta, Revil и Conti, для распространения шифровальщиков и кражи данных. Дропперы (семейство вредоносных программ под видом полезных приложений) заражали компьютеры и сети, а затем загружали настоящее вредоносное ПО.

По информации портала Therecord.media, в операции участвовали сотни сотрудников правоохранительных органов из разных стран. Им удалось отключить или вывести из строя 100 серверов, используемых злоумышленниками, а также конфисковать более 2000 вредоносных доменов. Теперь на заблокированных интерполом доменах можно увидеть такую заглушку:

 Источник изображения: Therecord.media

Источник изображения: Therecord.media

Кроме того, был арестован один подозреваемый в Армении и трое на территории Украины. А в Германии выданы ордера на арест ещё 8 человек, предположительно связанных с Trickbot и Smokeloader. Злоумышленники использовали фишинг и шпионское ПО для проникновения в сети жертв для последующего вымогательства денежных средств, исчисляемых миллионами долларов.

Полиция также выяснила, что один из главных подозреваемых заработал не менее €69 млн в криптовалюте на сдаче в аренду инфраструктуры по размещению сайтов вымогателей. Всего в ходе рейда было заблокировано около 100 криптокошельков на сумму более €70 млн.

В рамках операции проводились обыски и изъятие улик в нескольких странах. Полученные доказательства изучаются и могут привести к новым расследованиям. Представители Европола заявили, что операция продолжится, и другие причастные будут привлечены к ответственности.

Также на этой неделе в США были введены санкции против операторов ботнета 911 S5, который использовался для совершения крупномасштабных преступлений, а его предполагаемый администратор арестован. Данная операция стала мощным ударом по организованной киберпреступности.

США нейтрализовали гигантский ботнет 911 S5 — в нём было 19 млн IP-адресов

Минюст США доложил о ликвидированном при поддержке правоохранительных органов других стран крупном ботнете 911 S5 и аресте его администратора ЮньХэ Вана (YunHe Wang). В сети взломанных устройств насчитывались 19 млн уникальных IP-адресов.

 Источник изображения: Cliff Hang / pixabay.com

Источник изображения: Cliff Hang / pixabay.com

Ботнет 911 S5 предположительно использовался для совершения кибератак, крупномасштабных мошеннических действий, служил инструментом эксплуатации детей, притеснений, угроз взрывов и нарушения экспортных ограничений. Он представлял собой сеть из заражённых домашних компьютеров под управлением Windows по всему миру. Ботнет включал 19 млн уникальных IP-адресов, в том числе 613 841 адрес в США. IP-адрес не всегда указывает на конкретный компьютер — он может быть общим для нескольких машин в сети, но этот показатель указывает на масштабы ботнета.

Гражданин Китая Ван также получил по инвестиционной программе гражданство островного государства Сент-Китс и Невис. По версии правоохранителей, он распространял вредоносное ПО, использованное для создания ботнета 911 S5 через клиенты VPN-сервисов MaskVPN и DewVPN, а также других служб. Кроме того, он встраивал вирусы в установочные файлы пиратских программ и материалов, защищённых авторским правом. Ван контролировал примерно 150 выделенных серверов по всему миру, 76 из которых он арендовал у американских поставщиков услуг. Используя выделенные серверы, он развёртывал приложения и управлял ими, контролируя заражённые системы, а также предоставлял клиентам доступ к ним как к прокси-серверам.

Американские власти сообщили об уничтожении ботнета 911 S5 через две недели после того, как отрапортовали о закрытии хакерского ресурса BreachForums. Последний вернулся, и на нём выставили на продажу базу с персональными данными 560 млн клиентов билетного оператора Ticketmaster. Ликвидированные правоохранительными органами ботнеты, как и хакерские форумы, иногда возобновляют работу.

Тысячи телефонов и маршрутизаторов оказались подключены к прокси-сервисам без ведома владельцев

Эксперты двух компаний, специализирующихся на вопросах кибербезопасности, независимо друг от друга раскрыли схемы работы нелегальных прокси-сервисов, работающих на заражённых вредоносным ПО маршрутизаторах и Android-телефонах.

 Источник изображения: B_A / pixabay.com

Источник изображения: B_A / pixabay.com

Специалисты Lumen Labs обнаружили, что около 40 000 домашних и офисных маршрутизаторов оказались включены в незаконную сеть, причём каждый день в неё добавляются ещё 1000 устройств. Все они заражены вредоносами семейства TheMoon, которое появилось как минимум в 2014 году. Поначалу вирусы TheMoon поражали почти исключительно маршрутизаторы Linksys серии E1000; с годами к ним подключились модели Asus WRT, D-Link и сетевые камеры Vivotek.

В первые годы TheMoon активно распространялся и привлёк внимание экспертов в области кибербезопасности, а впоследствии стал менее заметным. К удивлению исследователей из лаборатории Black Lotus компании Lumen в начале марта всего за 72 часа в ботнете TheMoon оказались 6000 роутеров Asus. Ещё более ошеломляющим оказалось обнаружение теневой сети из 40 000 домашних и офисных маршрутизаторов в 88 странах — как выяснилось, подавляющее большинство заражённых TheMoon устройств регистрируются в незаконном прокси-сервисе Faceless, используемом для анонимизации киберпреступников. Около 80 % ботов Faceless расположены в США, а значит, основными целями пользующихся сервисом киберпреступников являются американские организации и учётные записи американских пользователей.

 Источник изображения: Gerd Altmann / pixabay.com

Эксперты подразделения Satori Intelligence компании Human обнаружили в магазине Google Play 28 приложений, которые без ведома пользователей регистрировали их устройства в прокси-сети из 190 000 узлов. Сети присвоили название ProxyLib — её существование восходит корнями к удалённому в минувшем году из Google Play приложению Oko VPN, которое использовало заражённые устройства для мошенничества с рекламой. Все 28 приложений, обнаруженные Satori Intelligence, копировали код Oko VPN и подключали устройства к прокси-сервису Asock.

Исследователи также обнаружили второе поколение приложений ProxyLib, которые монетизировались с помощью сервиса LumiApps, который добавляет в мобильное ПО те же функции подключения к той же инфраструктуре, что и Oko VPN. Такие приложения распространяются как «моды» за пределом Google Play. Эксперты не знают, какие именно устройства входили в сеть Asock — на пике её развития их было 190 000. Это могли быть Android-телефоны или также другие устройства, скомпрометированные иными способами.

Чтобы защитить свои устройства от подключения к теневым сетям, рекомендуется соблюдать некоторые меры предосторожности. Не рекомендуется пользоваться оборудованием, которое больше не поддерживается производителем — у большинства устройств в ботнете TheMoon завершился срок службы, и обновления безопасности более не поступали. Рекомендуется также без особой нужды не пользоваться функцией UPnP, а если подключать её, то только для определённых портов. Приложения на устройства Android рекомендуется устанавливать только после изучения репутации ПО и его разработчика.

ФБР уничтожило шпионский ботнет и обвинило в его создании российскую разведку

Американские власти заявили об уничтожении ботнета, который использовался для фишинговых атак, шпионажа, сбора учётных данных и кражи информации — по их версии, к развёртыванию сети взломанных устройств причастны структуры российской разведки. Об этом сообщает The Register.

 Источник изображения: David Trinks / unsplash.com

Источник изображения: David Trinks / unsplash.com

Ботнет был ликвидирован в январе — его составили «более тысячи» маршрутизаторов, используемых в домашних сетях и сетях малых предприятий. Устройства были заражены вирусом Moobot — одним из вариантов ранее выявленного вредоноса Mirai. Вирус использовался для удалённого управления взломанными устройствами и проведения атак на сети.

Установку Moobot на маршрутизаторы под управлением Ubiquiti Edge OS произвели неизвестные киберпреступники, воспользовавшись установленными по умолчанию учётными данными. После этого управление взломанными устройствами, по версии ФБР, перехватила хакерская группировка APT 28, также известная под названиями Forest Blizzard и Fancy Bear, которая якобы связана с российской разведкой. Эта группировка посредством массовой установки на устройства собственных скриптов перепрофилировала ботнет и превратила его «в глобальную платформу кибершпионажа». Целями ботнета были организации, связанные с правительствами США и других стран, военные организации и частные компании.

Эксперты ФБР перехватили управление Moobot и отдали вредоносной сети команду на копирование и удаление вредоносных файлов, включая файлы самого вредоноса, а также данных, которые содержались на взломанных маршрутизаторах. Американцы изменили правила сетевого экрана маршрутизаторов, предотвратив их повторный захват. В конце операции все устройства были принудительно сброшены к заводским настройкам — это значит, что при сохранении установленных по умолчанию учётных данных они останутся уязвимыми для повторных атак.

Три миллиона умных зубных щёток устроили DDoS-атаку на швейцарскую компанию

Некие хакеры взломали около 3 млн умных зубных щёток и запустили полномасштабную DDoS-атаку, сообщила швейцарская газета Aargauer Zeitung. Забавный на первый взгляд инцидент обернулся вполне ощутимой проблемой: ботнет парализовал работу швейцарской компании, причинив ей миллионный ущерб.

 Источник изображения: Diana Polekhina / unsplash.com

Источник изображения: Diana Polekhina / unsplash.com

Издание предоставило не так много подробностей, но известно, что для атаки на умные зубные щётки использовался язык Java, достаточно популярный в сегменте устройств интернета вещей (IoT) — осуществив заражение, злоумышленники развернули атаку. Гаджеты с изменённой прошивкой успешно достигли цели, наводнили сайт швейцарской компании фиктивным трафиком, отключили службы и вызвали масштабный сбой.

Инцидент подчёркивает, что на фоне массового развёртывания интернета вещей ландшафт угроз постоянно расширяется. Умные зубные щётки выпускаются уже десять лет — устройства, которые ранее казались безобидными и вынесенными за границы цифровой экосистемы, теперь становятся потенциальными точками входа для киберпреступников. Это может повлечь значительные последствия для личной жизни и безопасности граждан, а также для национальной инфраструктуры и экономической стабильности.

Многие устройства интернета вещей, предупреждают эксперты, небезопасны по своей сути в силу двух основных причин: легкомысленное к ним отношение и отсутствие интерфейса, который помог бы повысить меры защиты — проще говоря, у зубной щётки отсутствуют настройки безопасности, а на холодильник не получится установить антивирус.

Защититься в отдельных случаях помогут элементарные нормы цифровой гигиены. К примеру, не следует заряжать устройства интернета вещей через общедоступные USB-порты — они могут использоваться для взлома; по той же причине следует опасаться общедоступных сетей Wi-Fi. И, возможно, без насущной необходимости можно обойтись без устройств с подключением к интернету. Если смарт-телевизор сегодня становится таким же естественным явлением, как и смартфон, то стиральная машина, утюг и зубная щётка с выходом в Сеть — это, возможно, излишества.

Обновлено:

Представитель компании Fortinet пояснил ситуацию порталу ZDNET: «Чтобы прояснить ситуацию, тема использования зубных щеток для DDoS-атак была представлена в интервью в качестве иллюстрации определенного типа атак и не основана на исследованиях Fortinet или FortiGuard Labs. Похоже... изложение этой темы было растянуто до такой степени, что гипотетические и реальные сценарии оказались размытыми».

В X обнаружили группировку ботов, которые писали мошеннические посты с помощью ChatGPT

В мае этого года исследователи из Университета Индианы обнаружили в социальной сети X (тогда ещё Twitter) ботнет на базе ChatGPT. Ботнет, названный Fox8 из-за его связи с одноимёнными криптовалютными сайтами, состоял из 1140 учётных записей. Многие из них использовали ChatGPT для создания постов в социальной сети и для ответа на посты друг друга. Автоматически сгенерированный контент побуждал ничего не подозревающих людей перейти по ссылкам на сайты с рекламой криптовалют.

 Источник изображения: unsplash.com

Источник изображения: unsplash.com

Эксперты уверены, что ботнет Fox8 может быть лишь верхушкой айсберга, учитывая, насколько популярными стали большие языковые модели и чат-боты. «Единственная причина, по которой мы заметили этот конкретный ботнет, заключается в том, что он работал небрежно», — отметил профессор Университета Индианы Филиппо Менцер (Filippo Menczer). Исследователи обнаружили ботнет, выполнив поиск на платформе по контрольной фразе «Как языковая модель ИИ…», которую ChatGPT иногда использует для подсказок по деликатным темам. Затем они вручную проанализировали учётные записи и выявили те из них, которыми управляли боты.

Несмотря на свою «небрежность», ботнет опубликовал множество убедительных сообщений, рекламирующих криптовалютные сайты. Очевидная лёгкость, с которой ИИ OpenAI был использован для мошенничества, означает, что продвинутые ботнеты могут использовать чат-боты на основе ИИ более изощрённо, не давая себя обнаружить. «Любой хороший плохой парень не допустит такой ошибки», — шутит Менцер.

ChatGPT и другие чат-боты используют большие языковые модели для генерации текста в ответ на запрос. Располагая достаточным количеством обучающих данных, серьёзными вычислительными мощностями и обратной связью от людей-тестировщиков, такие боты могут удивительно адекватно реагировать на широкий спектр входных данных. Но они также могут высказывать ненавистнические сообщения, демонстрировать социальные предубеждения, генерировать выдуманную информацию и помогать хакерам в создании вредоносного ПО.

 Источник изображения: Pixabay

Источник изображения: Pixabay

«Это обманывает и платформу, и пользователей», — говорит Менцер о ботнете на базе ChatGPT. Если алгоритм социальных сетей обнаружит, что публикация пользуется большой популярностью (даже если эта активность исходит от других ботов), он покажет публикацию большему количеству людей. Правительства и организации, желающие проводить кампании по дезинформации, скорее всего, уже разрабатывают или внедряют такие инструменты, уверен Менцер.

Исследователи уже давно обеспокоены тем, что технология, лежащая в основе ChatGPT, может представлять риск дезинформации, и OpenAI даже отложила выпуск следующей версии системы из-за подобных опасений. Профессор Калифорнийского университета Уильям Ван (William Wang) считает, что многие спам-страницы теперь создаются автоматически, и констатирует, что людям становится всё труднее обнаружить подобные материалы по мере совершенствования ИИ.

Лаборатория Вана разработала метод автоматического определения текста, сгенерированного ChatGPT, но его внедрение обходится дорого, поскольку он использует API OpenAI, а базовый ИИ постоянно совершенствуется. X может стать благодатной площадкой для испытаний таких инструментов. Менцер утверждает, что вредоносные боты в последнее время резко повысили свою активность, а исследователям стало сложнее изучать проблему из-за резкого повышения цен на использование API соцсети.

Ботнет Fox8 был удалён лишь после того, как исследователи опубликовали в июле статью, хотя они сообщали об этом ещё в мае. Менцер утверждает, что его группа перестала извещать X о своих исследованиях ботнетов. «Они не особо реагируют, — говорит он. — У них действительно нет персонала».

Принципиальная политика разработчиков моделей ИИ запрещает использовать чат-боты для мошенничества или дезинформации. OpenAI пока не дала комментариев по поводу ботнета, использующего ChatGPT.

Люди создали менее 60 % всего трафика Рунета в прошлом году

В прошлом году в Рунете огромная доля трафика пришлась на ботов — они сгенерировали 40,5 % трафика, что на 5 процентных пунктов больше, чем в 2021 году. Как сообщают «Ведомости» со ссылкой на собственные источники, сгенерированный людьми трафик сократился с 64,5 % до 59,5 %.

 Источник изображения: geralt/unsplash.com

Источник изображения: geralt/unsplash.com

В агентстве Telecom Daily сообщили, что фиксированный трафик в 2022 году вырос на 16 % с 78 до 91 эксабайта, а мобильный — на 18 % с 29,6 до 36 эксабайт. По словам менеджера продукта Qrator.AntiBot в Qrator Labs Георгия Тарасова, только 17,5 % общего трафика приходится на «хороших» ботов вроде тех, что работают на индексацию сайтов. Вредоносные боты передают огромные массивы информации — их доля в общем трафике увеличилась с 19 % до 23 %.

Рост трафика, генерируемого ботами, подтверждают эксперты других компаний. Отмечается, что в первом полугодии число ботов-вредоносов продолжает множиться: они собирают информацию о пользователях, оставляют спам-комментарии, размещают фальшивые отзывы и «скликивают» рекламные объявления конкурентов. В некоторых случаях они способны даже остановить работу сайта, организуя DDoS-атаки. Как сообщают эксперты, если раньше такие боты угрожали преимущественно сайтам, связанным с интернет-торговлей, то теперь атакуют ресурсы из сферы энергетики, ЖКХ, здравоохранения, образования и сферы развлечений.

При этом подчёркивается, что рост активности ботов — общемировая тенденция. Как сообщили специалисты Imperva, в прошлом году «человеческий» трафик достиг рекордно низких значений, упав до 52,6 %, — остальные 47,5 % пришлись на ботов. В мире, в отличие от России, ситуация с «плохими» ботами ещё хуже — на их долю приходится 30,2 % всего трафика, на 2,5 п.п больше год к году. Виной всему — развитие технологий и автоматизация процессов в Сети, а также упрощение разработки ботов и рост масштабов мошеннических проектов. Благодаря падению цен на «плохих» ботов, их применяют всё шире и активнее. Применение ботов продолжает дешеветь благодаря снижению цен на вычислительные ресурсы, немалый вклад вносит и развитие Интернета вещей. По имеющимся данным, к Сети подключены более 14 млрд устройств, которые плохо защищены и легко превращаются в участников ботнетов.

«Хорошие» боты тоже повысили активность, в том числе — благодаря развитию систем искусственного интеллекта. Например, простой запрос к ИИ с просьбой спланировать поездку вызывает целую серию взаимодействий с Сетью — бот проверяет наличие билетов, прогноз погоды, цены, отзывы туристов и наличие доступных мест в гостиницах. Именно это и считается «хорошим» бот-трафиком.

Как считают эксперты, по доле трафика боты в ближайшее время обгонят людей, а простота их создания будет только способствовать этому.


window-new
Soft
Hard
Тренды 🔥
ИИ научили генерировать тысячи модификаций вирусов, которые легко обходят антивирусы 36 мин.
В Epic Games Store стартовала новая раздача Control — для тех, кто дважды не успел забрать в 2021 году 47 мин.
За 2024 год в Steam вышло на 30 % больше игр, чем за прошлый — это новый рекорд 2 ч.
«Яндекс» закрыл почти все международные стартапы в сфере ИИ 3 ч.
Создатели Escape from Tarkov приступили к тестированию временного решения проблем с подключением у игроков из России — некоторым уже помогло 3 ч.
Веб-поиск ChatGPT оказался беззащитен перед манипуляциями и обманом 5 ч.
Инвесторы готовы потратить $60 млрд на развитие ИИ в Юго-Восточной Азии, но местным стартапам достанутся крохи от общего пирога 5 ч.
Selectel объявил о спецпредложении на бесплатный перенос IT-инфраструктуры в облачные сервисы 6 ч.
Мошенники придумали, как обманывать нечистых на руку пользователей YouTube 7 ч.
На Открытой конференции ИСП РАН 2024 обсудили безопасность российского ПО и технологий искусственного интеллекта 7 ч.