Nowy botnet HLUX - przykład przestępczości zorganizowanej
Kaspersky Lab informuje o pojawieniu się nowej wersji botnetu HLUX, którego pierwowzór został niedawno zamknięty przez ekspertów z Kaspersky Lab przy współpracy z firmami Microsoft, SurfNET i Kyrus Tech.
Warto wyjaśnić, że odłączony jakiś czas temu botnet HLUX nadal znajduje się pod kontrolą Kaspersky Lab, a zainfekowane komputery nie mogą otrzymywać poleceń od cyberprzestępców, dzięki czemu nie mogą być wykorzystywane w masowych wysyłkach spamu.
Właściciele tej sieci zainfekowanych komputerów uczestniczą w niemal każdym znanym rodzaju przestępczości internetowej, w tym: wysyłanie spamu, kradzież haseł, manipulowanie wyszukiwarkami oraz ataki DDoS na strony WWW. Najnowsze informacje dotyczą nowej wersji botnetu HLUX – jest to zupełnie inna sieć zainfekowanych komputerów, jednak szkodliwe oprogramowanie wykorzystywane przez cyberprzestępców do atakowania i dołączania nowych maszyn zostało stworzone przy użyciu tego samego kodu HLUX.
Co robi szkodliwy program wykorzystywany do tworzenia nowego botnetu?
Szkodnik, którego cyberprzestępcy używają do zwiększania ilości zainfekowanych komputerów w botnecie HLUX rozprzestrzenia się sam i posiada możliwość przeprowadzania ataków DDoS, pozwalających na spowolnienie lub całkowite zatrzymanie funkcjonowania serwerów podłączonych do internetu. Dodatkowo, szkodliwy program posiada następujące funkcje:
- infekowanie pamięci flash (na przykład pendrive),
- wyszukiwanie w plikach konfiguracyjnych systemu operacyjnego informacji o programach służących do obsługi serwerów FTP,
- możliwość kradzieży portfeli Bitcoin oraz tworzenia własnej kopalni Bitcoin,
- możliwość działania w trybie serwera proxy,
- wyszukiwanie adresów e-mail w plikach znajdujących się na komputerze,
- przechwytywanie haseł, sesji FTP oraz HTTP w ruchu sieciowym.
Do jakich celów cyberprzestępcy wykorzystują nowego HLUXa?
Tak jak poprzednio, botnet HLUX otrzymuje głównie polecenia rozprzestrzeniania spamu. Jednak, na komputerach przyłączanych do sieci zainfekowanych komputerów instalowany jest również szkodliwy program, którego głównym zadaniem jest manipulowanie wyszukiwarkami. W wyniku jego dziania użytkownicy zamiast widzieć to, czego szukają, patrzą na informacje, które chcą im wyświetlić cyberprzestępcy.
Przechwycone dane dostępowe do serwerów FTP są wykorzystywane przez cyberprzestępców do umieszczania szkodliwych skryptów Java na stronach WWW. Skrypty te przekierowują użytkowników zhakowanych stron do zestawu szkodliwych programów infekujących poprzez wykorzystanie szeregu luk w zabezpieczeniach systemów operacyjnych oraz aplikacji.
Innymi słowy, cyberprzestępcy stojący za HLUXem robią wszystko, co tylko mogą, by przyłączać nowe komputery do botnetu, i atakują użytkowników na wszelkie możliwe sposoby.
Cyberprzestępczość zorganizowana
Botnet HLUX, zarówno stary, jak i nowy, to klasyczny przykład internetowej przestępczości zorganizowanej. Właściciele tej sieci zainfekowanych komputerów uczestniczą w niemal każdym znanym rodzaju cyberprzestępczości.
"Pojawianie się nowych wersji botnetów nie należy do rzadkości i stanowi jedno z wyzwań, jakie stoją przed branżą bezpieczeństwa IT" - komentuje Siergiej Golowanow, ekspert z Kaspersky Lab. "Możemy zneutralizować ataki i opóźnić działalność cyberprzestępczą, jednak jedynym sposobem unicestwienia botnetów jest aresztowanie i osądzenie ich twórców oraz grup, które z nich korzystają. Jest to trudne zadanie, ponieważ firmy zajmujące się bezpieczeństwem muszą stosować się do różnych polityk oraz praw obowiązujących w krajach, w których zlokalizowane są sieci zainfekowanych komputerów. To sprawia, że dochodzenia prowadzone przez organy ścigania i procesy sądowe są długotrwałe i skomplikowane".
Eksperci z Kaspersky Lab będą w dalszym ciągu monitorowali, i w miarę swoich możliwości utrudniali, działania cyberprzestępców stojących za nowym botnetem HLUX.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.