Globális támadásba lendült a GoldBrute botnet

A GoldBrute nevű botnet több millió számítógépet, illetve kiszolgálót veszélyeztet világszerte. Célpontban a távoli asztali szolgáltatásokat futtató rendszerek vannak.
 

A kiberbűnözés tovább folytatja az RDP-alapú támadásait, és minél több távoli asztali szolgáltatást biztosító számítógépet igyekszik az irányítása alá vonni. Napjainkban az egyik legkiterjedtebb ilyen jellegű támadássorozat a GoldBrute névre keresztelt botnethez kapcsolódik, amelynek vizsgálatára Renato Marinho, a Morphus Labs biztonsági elemzője vállalkozott. Az elemzései során sok érdekesség derült ki a kártékony hálózatról.
 
A GoldBrute botnet számos országban ütötte már fel a fejét, és tulajdonképpen országtól függetlenül, minden olyan kiszolgálót igyekszik bekebelezni, amelyek nem megfelelően védett RDP-kapcsolatok kialakítását támogatják. A Shodan kereső szerint globális szinten 2,4 millió olyan gép érhető el, amelyek az internet felől lehetőséget adnak távoli asztali kapcsolatok létesítésére. Így tehát bőven van miből mazsolázniuk az elkövetőknek.  
A GoldBrute működésében alapvető szerepet kapó kártékony kód már meghackelt szervereken keresztül terjed. Amikor egy számítógép megfertőződik, akkor a károkozó rögtön nekilát további potenciális áldozatok felkutatásához. Amint legalább 80 darab - támadók számára kecsegtető - IP-címet összegyűjt, akkor felveszi a kapcsolatot az egyik vezérlőszerverével, és feltölti az IP-címeket. Mindezt titkosított módon, a 8333-as porton keresztül.
 
Érdekesség, hogy a GoldBrute kártevő telepítéséhez szükséges állomány 80 MB méretű, vagyis szokatlanul nagy. Ennek leginkább az az oka, hogy egy Java alapú ártalmas programról van szó, amelynek telepítője teljes egészében hordozza a futásához szükséges Java Runtime-ot is. A fertőzött rendszereken egy bitcoin.dll állomány segítségével kezd mesterkedni. Ez a DLL-fájl valójában egy JAR-állomány. Amint ez betöltődik, akkor elkezdi a vezérlőszerverről lekérdezni azokat az IP-címeket, amiket elosztott, brute force módszerrel támad a botnet. Egy-egy IP-cím mellé a vezérlőszerver egy felhasználónév/jelszó párost is küld a fertőzött PC-nek, amit az kipróbál.
 
Nem kis üzemben megy a károkozás
 
Marinho egy teszt rendszeren kipróbálta a kártékony programot, és azt tapasztalta, hogy hat óra alatt több mint egymillió IP-címet (felhasználónévvel és jelszóval) kapott a fertőzött számítógépe, amit - ha engedte volna - akkor végig is próbált volna a kártékony program.
 
Az egyelőre nem derült ki, hogy a GoldBrute által képviselt, egyre komolyabb erőforrásokat mire akarják majd felhasználni a támadók, mert jelenleg a kártékony kódjuk kizárólag az újabb számítógépek feltörésére alkalmas. Nem elképzelhetetlen, hogy a rendelkezésükre álló erőforrásokat az internetes feketepiacon fogják bérbe adni.