7 Aralık 2021’de, Google operasyondan sorumlu olduğu iddia edilen iki Rus erkeğe dava açtığını duyurdu. aptallık Botnet, son on yılda milyonlarca bilgisayara bulaşan küresel bir kötü amaçlı yazılım tehdidi. Aynı gün, AWM Proxy’si Saldırıya uğramış bilgisayarları siber suçlulara kiralayan 14 yaşındaki bir anonimlik hizmeti, aniden çevrimdışı oldu. Güvenlik uzmanları, Glupteba ve AWM Proxy arasında uzun süredir bir bağlantı görüyorlardı, ancak yeni araştırmalar, AWM Proxy’nin kurucusunun Google tarafından dava edilen adamlardan biri olduğunu gösteriyor.
Mart 2008’de başlatılan AWM Proxy, kötü niyetli Web trafiğini güvenliği ihlal edilmiş cihazlar üzerinden yönlendirmek isteyen dolandırıcılar için hızla en büyük hizmet haline geldi. 2011 yılında araştırmacılar Kaspersky Laboratuvarı gösterdi AWM Proxy’de kiralık neredeyse tüm saldırıya uğramış sistemlerin güvenliğinin ihlal edildiğini TDSS (diğer adıyla TDL-4 ve Alureon), virüslü bilgisayarların derinlerine yüklenen ve temeldeki Windows işletim sistemi açılmadan önce yüklenen gizli bir “rootkit”.
Mart 2011’de, güvenlik araştırmacıları ESET bulundu TDSS, parolaları ve diğer erişim kimlik bilgilerini çalan, güvenlik yazılımını devre dışı bırakan ve kurbanın ağındaki diğer cihazları (İnternet yönlendiricileri ve medya depolama sunucuları gibi) ele geçirmeye çalışan başka bir rootkit olan Glupteba’yı dağıtmak için kullanılıyordu. trafik.
Selefi TDSS gibi, Glupteba da öncelikle “yükleme başına ödeme” veya ÜFE ağlarıve trafik dağıtım sistemlerinden (TDS) satın alınan trafik aracılığıyla. Yükleme başına ödeme ağları, çok sayıda saldırıya uğramış PC’ye zaten erişimi olan siber suçluları, kötü amaçlı yazılımlarının daha geniş dağıtımını arayan diğer dolandırıcılarla eşleştirmeye çalışır.
Tipik bir PPI ağında, istemciler kötü amaçlı yazılımlarını (örneğin bir spam botu veya parola çalan Truva atı) hizmete gönderir ve bu hizmet, istenen kurbanların istenen coğrafi konumuna bağlı olarak ücretlendirilen bin başarılı kurulum başına ücretlendirilir. PPI iştiraklerinin gelir elde etmesinin en yaygın yollarından biri, PPI ağının yükleyicisini, web üzerinden veya dosya paylaşım ağlarından yaygın olarak indirilebilen korsan yazılım başlıklarıyla gizlice bir araya getirmektir.
Geçtiğimiz on yılda hem Glupteba hem de AWM Proxy önemli ölçüde büyüdü. KrebsOnSecurity ne zaman 2011’de ilk kapsanan AWM Proxy’si, hizmet düzinelerce ülkeye dağılmış yaklaşık 24.000 virüslü bilgisayara erişim satıyordu. On yıl sonra, AWM Proxy herhangi bir günde bu sayıda saldırıya uğramış sistem sunuyordu ve Glupteba dünya çapında bir milyondan fazla virüslü cihaza ulaştı.
Ayrıca birde şu var bol kanıt Glupteba’nın yumurtlamış olabileceğini öne sürmek Meris, saldırıya uğramış Nesnelerin İnterneti (IoT) cihazlarından oluşan devasa bir botnet Eylül 2021’de ortaya çıkan ve İnternet’in gördüğü en büyük ve en yıkıcı dağıtılmış hizmet reddi (DDoS) saldırılarından bazılarından sorumluydu.
Ancak 7 Aralık 2021’de Google ilan edildi Glupteba botnet’i dağıtmak için teknik önlemler almıştı ve sivil dava açtı (PDF) büyük suç makinesini çalıştırmaktan sorumlu olduğu düşünülen iki Rus adama karşı. AWM Proxy’nin çevrimiçi mağazası aynı gün ortadan kayboldu.
AWM Proxy, müşterilerini tüm müşteri bakiyeleri, parolaları ve satın alma geçmişleri sorunsuz bir şekilde yeni eve taşınmış olarak hizmetin yeni bir alana taşındığı konusunda hızlı bir şekilde uyardı. Ancak, AWM Proxy’nin etki alanlarını ve diğer altyapısını hedef alan sonraki yayından kaldırmalar, o zamandan beri hizmeti ipler üzerinde tutmak ve sık sık etki alanları değiştirmek için bir araya geldi.
Bu ayın başlarında Amerika Birleşik Devletleri, Almanya, Hollanda ve Birleşik Krallık, “RSOCKS” botnet, 2014’ten beri faaliyette olan rakip bir proxy hizmeti. KrebsOnSecurity, RSOCKS’ın sahibini Rusya’nın Omsk kentinden 35 yaşında bir kişi olarak tanımladı spam gönderenlere hizmet veren dünyanın en büyük forumunu yöneten kişi.
Geçen haftaki RSOCKS kurucusu hakkındaki hikayeden kısa bir süre sonra şunu duydum: Riley Kilmerkurucu ortağı Spur.us, suçlu proxy hizmetlerini izleyen bir başlangıç. Kilmer, Google’ın Glupteba’yı hedef alan birleşik yasal gizli saldırı ve teknik yayından kaldırma işleminden sonra RSOCKS’ın benzer şekilde devre dışı bırakıldığını söyledi.
Kilmer, “RSOCKS web sitesi size her bir abonelik paketindeki tahmini proxy sayısını verdi ve bu sayı 7 Aralık’ta sıfıra indi” dedi. “Bunun, hizmetlerin aynı kişiler tarafından mı işletildiği, yoksa kötü amaçlı yazılımlarının yeni kurulumlarını oluşturmak için aynı kaynakları mı (yani, ÜFE programları) kullandıkları anlamına geldiği açık değil.”
Kilmer, şirketinin RSOCKS’un satılık kaç tane sistemi olduğunu belirlemeye çalıştığında, RSOCKS tarafından satılan her İnternet adresinin AWM Proxy’nin ağında da bulunduğunu gördüklerini söyledi. Ayrıca Kilmer, her iki hizmet tarafından virüslü sistemleri takip etmek için kullanılan uygulama programlama arayüzlerinin (API’ler) neredeyse aynı olduğunu ve bir kez daha güçlü bir işbirliğine işaret ettiğini söyledi.
Kilmer, “RSOCKS’tan geri aldığımız IP’lerin yüzde yüzü AWM’de zaten tanımlamıştık,” dedi. “Ve tek bir IP’ye eriştiğinizde size verdikleri IP bağlantı noktası kombinasyonları, AWM’dekiyle aynıydı.”
2011 yılında KrebsOnSecurity bir araştırma yayınladı. AWM Proxy’nin kurucularından birini belirlediancak Kilmer’in ifşası, RSOCKS, AWM Proxy ve Glupteba arasında daha somut bağlantılar gösteren ek ipuçları olup olmadığını belirlemek için bu genişleyen siber suç girişiminin kökenlerine yeni bir bakış atmamı sağladı.
PLANINIZ GOOGLE’I SÖKMEK İSE…
Kilmer’in AWM Proxy ve RSOCKS’ın yayılmak için aynı ÜFE ağlarını kullanıyor olabileceği teorisini destekleyen daha fazla araştırma, RSOCKS sahibinin aynı zamanda bir mülkiyet hissesine sahip olduğunu gösteriyor. AD1[.]ruen az on yıldır faaliyette olan son derece popüler bir Rusça yükleme başına ödeme ağı.
Google Glupteba’yı hedef aldı, çünkü sahipleri botnet’i çevrimiçi reklam gelirlerinde büyük meblağları yönlendirmek ve çalmak için kullanıyorlardı. Bu nedenle, tüm bu işlemleri birbirine bağlayan kritik kanıt parçasının, 2008’de orijinal AWM Proxy’nin HTML kodunda bulunan bir Google Analytics koduyla başlaması biraz ironik değil (UA-3816536).
Bu analiz kodu, yıllar içinde, şu anda feshedilmiş olan Rus alan adı kayıt şirketi de dahil olmak üzere, birkaç başka sitede de mevcuttu. domenadom[.]ruve web sitesi İnternet sitesi[.]rumerakla adı verilen küresel bir gayrimenkul değerleme işi yürüten bir Rus şirketiydi. Amerikan Değerlemesi.
Bu Google Analytics koduna bağlı diğer iki alan adı — Rus plastik üreticileri techplast[.]ru ve tekhplast.ru — ayrıca farklı bir Google Analytics kodu paylaştı (UA-1838317) web sitesi ile[.]ru ve etki alanı ile “Antikalar[.]ru”
Plastik alan adları için WHOIS kayıt kayıtlarındaki isim “Alexander I. Ukraincki”, kişisel bilgileri de tpos alan adlarında yer alan[.]ru ve alphadisplay[.]ru, görünüşe göre Rusya’daki satış noktası ödeme terminalleri üreticisi.
takımyıldızı istihbaratGeçmişteki veri ihlallerinde açığa çıkan şifreleri ve diğer kişisel bilgileri endeksleyen bir güvenlik firması olan , Alexander I. Ukraincki tarafından yıllar içinde kullanılan e-posta adreslerinde düzinelerce varyasyon ortaya çıkardı. Bu e-posta adreslerinin çoğu, “uai@” ardından birçok Rus e-posta sağlayıcısından birinden bir alan adı gelir (örn. yandex.ru, mail.ru). [Full disclosure: Constella is currently an advertiser on this website].
Ancak Constella, hepsinin bir avuç parolaya dayandığı farklı e-posta adreslerini de gösteriyor – en yaygın olarak “2222den” ve “2222DEEN” Bu şifrelerin her ikisi de neredeyse yalnızca son on yılda bir düzineden fazla e-posta adresini “kullanıcı adıyla kaydeden kişi tarafından kullanıldı.dennstr”
Dennstr kimliği, Ukrayna’dan Denis Strelinikov veya Denis Stranatka gibi aynı isimde çeşitli varyasyonlara yol açar, ancak bu ipuçları nihayetinde hiçbir umut vaat etmemiştir. Ve belki de mesele buydu.
Bir arama yaptıktan sonra işler daha parlak görünmeye başladı Etki AlanıAraçları web sitesi için[.]ru’nun 2005 yılında e-posta adresini kullanan “özel bir kişiye” atandığını gösteren orijinal WHOIS kayıtları [email protected]. Constella’da bu e-posta adresinde yapılan bir arama, bunun starovikov.ru ve Antikalar[.]com.
A Starovikov için iletişim sayfasının önbelleğe alınmış kopyası[.]com 2008’de kişisel bilgileri görüntülediğini gösteriyor Dmitry StarovikovSkype kullanıcı adını “lycefer” olarak listeledi.
Son olarak, Rus kuruluş belgeleri göstermek şirket LLC Web Sitesi (web sitesi[.]ru) 2005 yılında iki erkeğe kayıtlıydı. Dmitry Sergeevich Starovikov.
Bu tam daireyi getiren Google, Starovikov’un Glupteba botnet’in iki operatöründen biri olduğunu söylüyor:
Bay Starovikov, yorum taleplerine yanıt vermedi. Ancak Starovikov ve dava arkadaşının avukatları, geçen ay New York’un Güney Bölgesi’nde Google’ın şikayetine yanıt verdi. inkar (PDF) müşterilerinin şema hakkında herhangi bir bilgisi vardı.
Google’ın yasal ve teknik müdahalesinin neden olduğu tüm aksaklığa rağmen, hizmetin yeni bir adla markalanmasına ve yeni sahiplerin şüpheli iddialarına rağmen AWM hala her zamanki gibi ve neredeyse her zamanki kadar sağlıklı. AWM Proxy, kötü amaçlı yazılımının son 24 saat içinde dünya çapında yaklaşık 175.000 sistemde çalıştığını ve bu sistemlerin yaklaşık 65.000’inin şu anda çevrimiçi olduğunu söylüyor.
Bu arada, RSOCKS yöneticileri kısa süre önce müşterileri hizmetin ve harcanmamış bakiyelerin yakında yeni bir konuma taşınacağı konusunda uyardı.
Pek çok insan, siber suçluları araştırmak ve kovuşturmak için zaman, para ve çaba harcamayı, büyük ölçüde başarısız olan uyuşturucu savaşıyla aynı kefeye koyuyor gibi görünüyor; bu da, siber suçlular karşılaştığında her zaman işgücündeki boşlukları dolduracak sonsuz bir gelecek vaat eden sahtekar kaynağı olduğu anlamına geliyor. adalet.
Bu, günümüzde pek çok düşük seviyeli siber hırsız için doğru olsa da, bunun gibi araştırmalar yeraltındaki siber suçluların gerçekte ne kadar küçük olduğunu bir kez daha gösteriyor. Ayrıca, siber suçların gerçek güç çarpanları olmaya devam eden nispeten az sayıda yerleşik bilgisayar korsanını hedef alma ve bozma çabalarına odaklanmanın ne kadar mantıklı olduğunu da gösteriyor.