A GitHubra is szemet vetettek a vírusterjesztők

A Winnti kiberbőnözői csoport a GitHubot használta fel arra, hogy a fertőzött számítógépek feletti irányítást magához ragadja.
 

A kártékony programok egy jelentős hányada képes különféle vezérlőszerverekkel (C&C) kommunikálni. Ezek a kiszolgálók többféle feladatot láthatnak el, de legtöbbször a fertőzött rendszereken végrehajtandó parancsokat osztogatják, vagy éppen begyűjtik a kompromittált számítógépekről kiszivárogtatott adatokat. A vezérlőszervereket a lehető legjobban igyekeznek védeni a csalók, miközben a biztonsági cégek, hatóságok azon dolgoznak, hogy ezekből minél többet fel lehessen számolni. Az így kialakuló macska egér közdelemben, sajnos gyakorta a kiberbűnözők kerülnek előnybe, amit a Trend Micro kutatói által legutóbb felfedezett hálózat is alátámasztott.
 
A biztonsági cég arra jött rá, hogy a már 2007 óta tevékenykedő Winnti bűnözői csoport taktikát váltott: a rendszeresen váltogatott vezérlőszerverekkel történő kommunikáció biztosítása érdekében bevetette a GitHubot.
 
Az alapvetően nem szokatlan jelenség, hogy a vírusok terjesztésébe és működtetésébe legális szolgáltatásokat is bevonnak az elkövetők. Korábban például egyes Twitter fiókokról is beigazolódott már, hogy kártékony programokat segítettek. A GitHub azonban egy viszonylag új célpont ebből a szempontból. Azért csak viszonylag, ugyanis a Winnti-féle károkozások elemzése során kiderült, hogy az ilyen jellegű támadások már majdnem egy éve zajlanak.
 
A Trend Micro vizsgálatai azt mutatják, hogy a csalók által használt GitHub fiókot 2016 májusában regisztrálták, és az első nemkívánatos C&C kommunikációra augusztusban került sor. A szóban forgó profil alatt egy olyan kód kapott helyet, amely rendszeresen változó, kódolt karaktersorozatokat tartalmazott. A csalók ebbe rejtették el az éppen elérhető kiszolgálóik IP-címét és az adatátvitelhez fenntartott portok számát.


Forrás: Trend Micro
 
A githubos trükk két szempontból is előnyösnek bizonyulhatott a Winnti csoport tagjai körében. Egyrészt egy legális szolgáltatás mögé tudtak rejtőzni, másrészt a GitHubon elhelyezett kód egyszerű cseréjével rendszeresen tudták cserélgetni a kiszolgálóik címét anélkül, hogy a fertőzött klienseket elvesztették volna. A biztonsági cég szerint tavaly augusztus óta legalább két tucat szerverrel dolgozott az alvilági csoport. Ezek zöme az USA-ban kapott helyet, de két japán kiszolgáló is szerephez jutott a károkozásokban.
 
A Winnti által terjesztett kártékony kód célja az volt, hogy hátsó kaput nyisson a számítógépeken, és adatokat lopjon. A bűnözői csoport már a kezdetek óta kiemelt figyelmet fordított az online játékok felhasználóinak adataira, és ez napjainkban sincs másként. A legtöbb áldozatot Ázsiában szedte.
 
„Az olyan népszerű platformok, mint amilyen a GitHub is, a támadók számára lehetőséget adhat arra, hogy folyamatos hálózati kapcsolatot biztosítsanak a kompromittált számítógépek és a vezérlőszerverek között. Eközben pedig hosszú ideig rejtve maradhatnak a biztonsági megoldások előtt" - nyilatkozta Cedric Pernet, a Trend Micro kutatója.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség