Сегодня 29 марта 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → ботнеты

Тысячи телефонов и маршрутизаторов оказались подключены к прокси-сервисам без ведома владельцев

Эксперты двух компаний, специализирующихся на вопросах кибербезопасности, независимо друг от друга раскрыли схемы работы нелегальных прокси-сервисов, работающих на заражённых вредоносным ПО маршрутизаторах и Android-телефонах.

 Источник изображения: B_A / pixabay.com

Источник изображения: B_A / pixabay.com

Специалисты Lumen Labs обнаружили, что около 40 000 домашних и офисных маршрутизаторов оказались включены в незаконную сеть, причём каждый день в неё добавляются ещё 1000 устройств. Все они заражены вредоносами семейства TheMoon, которое появилось как минимум в 2014 году. Поначалу вирусы TheMoon поражали почти исключительно маршрутизаторы Linksys серии E1000; с годами к ним подключились модели Asus WRT, D-Link и сетевые камеры Vivotek.

В первые годы TheMoon активно распространялся и привлёк внимание экспертов в области кибербезопасности, а впоследствии стал менее заметным. К удивлению исследователей из лаборатории Black Lotus компании Lumen в начале марта всего за 72 часа в ботнете TheMoon оказались 6000 роутеров Asus. Ещё более ошеломляющим оказалось обнаружение теневой сети из 40 000 домашних и офисных маршрутизаторов в 88 странах — как выяснилось, подавляющее большинство заражённых TheMoon устройств регистрируются в незаконном прокси-сервисе Faceless, используемом для анонимизации киберпреступников. Около 80 % ботов Faceless расположены в США, а значит, основными целями пользующихся сервисом киберпреступников являются американские организации и учётные записи американских пользователей.

 Источник изображения: Gerd Altmann / pixabay.com

Эксперты подразделения Satori Intelligence компании Human обнаружили в магазине Google Play 28 приложений, которые без ведома пользователей регистрировали их устройства в прокси-сети из 190 000 узлов. Сети присвоили название ProxyLib — её существование восходит корнями к удалённому в минувшем году из Google Play приложению Oko VPN, которое использовало заражённые устройства для мошенничества с рекламой. Все 28 приложений, обнаруженные Satori Intelligence, копировали код Oko VPN и подключали устройства к прокси-сервису Asock.

Исследователи также обнаружили второе поколение приложений ProxyLib, которые монетизировались с помощью сервиса LumiApps, который добавляет в мобильное ПО те же функции подключения к той же инфраструктуре, что и Oko VPN. Такие приложения распространяются как «моды» за пределом Google Play. Эксперты не знают, какие именно устройства входили в сеть Asock — на пике её развития их было 190 000. Это могли быть Android-телефоны или также другие устройства, скомпрометированные иными способами.

Чтобы защитить свои устройства от подключения к теневым сетям, рекомендуется соблюдать некоторые меры предосторожности. Не рекомендуется пользоваться оборудованием, которое больше не поддерживается производителем — у большинства устройств в ботнете TheMoon завершился срок службы, и обновления безопасности более не поступали. Рекомендуется также без особой нужды не пользоваться функцией UPnP, а если подключать её, то только для определённых портов. Приложения на устройства Android рекомендуется устанавливать только после изучения репутации ПО и его разработчика.

ФБР уничтожило шпионский ботнет и обвинило в его создании российскую разведку

Американские власти заявили об уничтожении ботнета, который использовался для фишинговых атак, шпионажа, сбора учётных данных и кражи информации — по их версии, к развёртыванию сети взломанных устройств причастны структуры российской разведки. Об этом сообщает The Register.

 Источник изображения: David Trinks / unsplash.com

Источник изображения: David Trinks / unsplash.com

Ботнет был ликвидирован в январе — его составили «более тысячи» маршрутизаторов, используемых в домашних сетях и сетях малых предприятий. Устройства были заражены вирусом Moobot — одним из вариантов ранее выявленного вредоноса Mirai. Вирус использовался для удалённого управления взломанными устройствами и проведения атак на сети.

Установку Moobot на маршрутизаторы под управлением Ubiquiti Edge OS произвели неизвестные киберпреступники, воспользовавшись установленными по умолчанию учётными данными. После этого управление взломанными устройствами, по версии ФБР, перехватила хакерская группировка APT 28, также известная под названиями Forest Blizzard и Fancy Bear, которая якобы связана с российской разведкой. Эта группировка посредством массовой установки на устройства собственных скриптов перепрофилировала ботнет и превратила его «в глобальную платформу кибершпионажа». Целями ботнета были организации, связанные с правительствами США и других стран, военные организации и частные компании.

Эксперты ФБР перехватили управление Moobot и отдали вредоносной сети команду на копирование и удаление вредоносных файлов, включая файлы самого вредоноса, а также данных, которые содержались на взломанных маршрутизаторах. Американцы изменили правила сетевого экрана маршрутизаторов, предотвратив их повторный захват. В конце операции все устройства были принудительно сброшены к заводским настройкам — это значит, что при сохранении установленных по умолчанию учётных данных они останутся уязвимыми для повторных атак.

Три миллиона умных зубных щёток устроили DDoS-атаку на швейцарскую компанию

Некие хакеры взломали около 3 млн умных зубных щёток и запустили полномасштабную DDoS-атаку, сообщила швейцарская газета Aargauer Zeitung. Забавный на первый взгляд инцидент обернулся вполне ощутимой проблемой: ботнет парализовал работу швейцарской компании, причинив ей миллионный ущерб.

 Источник изображения: Diana Polekhina / unsplash.com

Источник изображения: Diana Polekhina / unsplash.com

Издание предоставило не так много подробностей, но известно, что для атаки на умные зубные щётки использовался язык Java, достаточно популярный в сегменте устройств интернета вещей (IoT) — осуществив заражение, злоумышленники развернули атаку. Гаджеты с изменённой прошивкой успешно достигли цели, наводнили сайт швейцарской компании фиктивным трафиком, отключили службы и вызвали масштабный сбой.

Инцидент подчёркивает, что на фоне массового развёртывания интернета вещей ландшафт угроз постоянно расширяется. Умные зубные щётки выпускаются уже десять лет — устройства, которые ранее казались безобидными и вынесенными за границы цифровой экосистемы, теперь становятся потенциальными точками входа для киберпреступников. Это может повлечь значительные последствия для личной жизни и безопасности граждан, а также для национальной инфраструктуры и экономической стабильности.

Многие устройства интернета вещей, предупреждают эксперты, небезопасны по своей сути в силу двух основных причин: легкомысленное к ним отношение и отсутствие интерфейса, который помог бы повысить меры защиты — проще говоря, у зубной щётки отсутствуют настройки безопасности, а на холодильник не получится установить антивирус.

Защититься в отдельных случаях помогут элементарные нормы цифровой гигиены. К примеру, не следует заряжать устройства интернета вещей через общедоступные USB-порты — они могут использоваться для взлома; по той же причине следует опасаться общедоступных сетей Wi-Fi. И, возможно, без насущной необходимости можно обойтись без устройств с подключением к интернету. Если смарт-телевизор сегодня становится таким же естественным явлением, как и смартфон, то стиральная машина, утюг и зубная щётка с выходом в Сеть — это, возможно, излишества.

Обновлено:

Представитель компании Fortinet пояснил ситуацию порталу ZDNET: «Чтобы прояснить ситуацию, тема использования зубных щеток для DDoS-атак была представлена в интервью в качестве иллюстрации определенного типа атак и не основана на исследованиях Fortinet или FortiGuard Labs. Похоже... изложение этой темы было растянуто до такой степени, что гипотетические и реальные сценарии оказались размытыми».

В X обнаружили группировку ботов, которые писали мошеннические посты с помощью ChatGPT

В мае этого года исследователи из Университета Индианы обнаружили в социальной сети X (тогда ещё Twitter) ботнет на базе ChatGPT. Ботнет, названный Fox8 из-за его связи с одноимёнными криптовалютными сайтами, состоял из 1140 учётных записей. Многие из них использовали ChatGPT для создания постов в социальной сети и для ответа на посты друг друга. Автоматически сгенерированный контент побуждал ничего не подозревающих людей перейти по ссылкам на сайты с рекламой криптовалют.

 Источник изображения: unsplash.com

Источник изображения: unsplash.com

Эксперты уверены, что ботнет Fox8 может быть лишь верхушкой айсберга, учитывая, насколько популярными стали большие языковые модели и чат-боты. «Единственная причина, по которой мы заметили этот конкретный ботнет, заключается в том, что он работал небрежно», — отметил профессор Университета Индианы Филиппо Менцер (Filippo Menczer). Исследователи обнаружили ботнет, выполнив поиск на платформе по контрольной фразе «Как языковая модель ИИ…», которую ChatGPT иногда использует для подсказок по деликатным темам. Затем они вручную проанализировали учётные записи и выявили те из них, которыми управляли боты.

Несмотря на свою «небрежность», ботнет опубликовал множество убедительных сообщений, рекламирующих криптовалютные сайты. Очевидная лёгкость, с которой ИИ OpenAI был использован для мошенничества, означает, что продвинутые ботнеты могут использовать чат-боты на основе ИИ более изощрённо, не давая себя обнаружить. «Любой хороший плохой парень не допустит такой ошибки», — шутит Менцер.

ChatGPT и другие чат-боты используют большие языковые модели для генерации текста в ответ на запрос. Располагая достаточным количеством обучающих данных, серьёзными вычислительными мощностями и обратной связью от людей-тестировщиков, такие боты могут удивительно адекватно реагировать на широкий спектр входных данных. Но они также могут высказывать ненавистнические сообщения, демонстрировать социальные предубеждения, генерировать выдуманную информацию и помогать хакерам в создании вредоносного ПО.

 Источник изображения: Pixabay

Источник изображения: Pixabay

«Это обманывает и платформу, и пользователей», — говорит Менцер о ботнете на базе ChatGPT. Если алгоритм социальных сетей обнаружит, что публикация пользуется большой популярностью (даже если эта активность исходит от других ботов), он покажет публикацию большему количеству людей. Правительства и организации, желающие проводить кампании по дезинформации, скорее всего, уже разрабатывают или внедряют такие инструменты, уверен Менцер.

Исследователи уже давно обеспокоены тем, что технология, лежащая в основе ChatGPT, может представлять риск дезинформации, и OpenAI даже отложила выпуск следующей версии системы из-за подобных опасений. Профессор Калифорнийского университета Уильям Ван (William Wang) считает, что многие спам-страницы теперь создаются автоматически, и констатирует, что людям становится всё труднее обнаружить подобные материалы по мере совершенствования ИИ.

Лаборатория Вана разработала метод автоматического определения текста, сгенерированного ChatGPT, но его внедрение обходится дорого, поскольку он использует API OpenAI, а базовый ИИ постоянно совершенствуется. X может стать благодатной площадкой для испытаний таких инструментов. Менцер утверждает, что вредоносные боты в последнее время резко повысили свою активность, а исследователям стало сложнее изучать проблему из-за резкого повышения цен на использование API соцсети.

Ботнет Fox8 был удалён лишь после того, как исследователи опубликовали в июле статью, хотя они сообщали об этом ещё в мае. Менцер утверждает, что его группа перестала извещать X о своих исследованиях ботнетов. «Они не особо реагируют, — говорит он. — У них действительно нет персонала».

Принципиальная политика разработчиков моделей ИИ запрещает использовать чат-боты для мошенничества или дезинформации. OpenAI пока не дала комментариев по поводу ботнета, использующего ChatGPT.

Люди создали менее 60 % всего трафика Рунета в прошлом году

В прошлом году в Рунете огромная доля трафика пришлась на ботов — они сгенерировали 40,5 % трафика, что на 5 процентных пунктов больше, чем в 2021 году. Как сообщают «Ведомости» со ссылкой на собственные источники, сгенерированный людьми трафик сократился с 64,5 % до 59,5 %.

 Источник изображения: geralt/unsplash.com

Источник изображения: geralt/unsplash.com

В агентстве Telecom Daily сообщили, что фиксированный трафик в 2022 году вырос на 16 % с 78 до 91 эксабайта, а мобильный — на 18 % с 29,6 до 36 эксабайт. По словам менеджера продукта Qrator.AntiBot в Qrator Labs Георгия Тарасова, только 17,5 % общего трафика приходится на «хороших» ботов вроде тех, что работают на индексацию сайтов. Вредоносные боты передают огромные массивы информации — их доля в общем трафике увеличилась с 19 % до 23 %.

Рост трафика, генерируемого ботами, подтверждают эксперты других компаний. Отмечается, что в первом полугодии число ботов-вредоносов продолжает множиться: они собирают информацию о пользователях, оставляют спам-комментарии, размещают фальшивые отзывы и «скликивают» рекламные объявления конкурентов. В некоторых случаях они способны даже остановить работу сайта, организуя DDoS-атаки. Как сообщают эксперты, если раньше такие боты угрожали преимущественно сайтам, связанным с интернет-торговлей, то теперь атакуют ресурсы из сферы энергетики, ЖКХ, здравоохранения, образования и сферы развлечений.

При этом подчёркивается, что рост активности ботов — общемировая тенденция. Как сообщили специалисты Imperva, в прошлом году «человеческий» трафик достиг рекордно низких значений, упав до 52,6 %, — остальные 47,5 % пришлись на ботов. В мире, в отличие от России, ситуация с «плохими» ботами ещё хуже — на их долю приходится 30,2 % всего трафика, на 2,5 п.п больше год к году. Виной всему — развитие технологий и автоматизация процессов в Сети, а также упрощение разработки ботов и рост масштабов мошеннических проектов. Благодаря падению цен на «плохих» ботов, их применяют всё шире и активнее. Применение ботов продолжает дешеветь благодаря снижению цен на вычислительные ресурсы, немалый вклад вносит и развитие Интернета вещей. По имеющимся данным, к Сети подключены более 14 млрд устройств, которые плохо защищены и легко превращаются в участников ботнетов.

«Хорошие» боты тоже повысили активность, в том числе — благодаря развитию систем искусственного интеллекта. Например, простой запрос к ИИ с просьбой спланировать поездку вызывает целую серию взаимодействий с Сетью — бот проверяет наличие билетов, прогноз погоды, цены, отзывы туристов и наличие доступных мест в гостиницах. Именно это и считается «хорошим» бот-трафиком.

Как считают эксперты, по доле трафика боты в ближайшее время обгонят людей, а простота их создания будет только способствовать этому.

США заявили о ликвидации российской хакерской сети RSOCKS

Стало известно, что Министерство юстиции США совместно с правоохранительными органами Великобритании, Германии и Нидерландов ликвидировала располагавшийся на территории России ботнет RSOCKS. Об этом пишет РБК со ссылкой на заявление американского ведомства.

 Источник изображения: Pixabay

Источник изображения: Pixabay

«В ходе операции была ликвидирована расположенная в России продвинутая преступная организация, которая занималась кибервзломами в США и других странах», — прокомментировала данный вопрос участвовавшая в операции агент ФБР Стэйси Моя.

Дело рассматривается в Южном округе штата Калифорния, но конкретные имена возможных фигурантов озвучены не были. По данным следствия, пользователи упомянутого прокси-сервиса осуществляли проведение крупных хакерских атак на службы аутентификации, известных как вброс учётных данных, а также анонимизировали себя во время доступа к скомпрометированным учётным записям в социальных сетях или распространяли вредоносные электронные письма, включая фишинговые.

В сообщении сказано, что борьба с хакерской сетью была начата в 2017 году, когда агенты ФБР провели тестовые закупки для получения доступа к ботнету. Это было необходимо для идентификации инфраструктуры сети и потенциальных жертв. Специалисты установили, что хакерам удалось взломать около 325 тыс. электронных устройств. В число пострадавших вошли несколько крупных государственных и частных организаций, а также частные лица.

В марте Министерство юстиции США обвинило четырёх россиян в проведении кибератак против систем безопасности энергетических компаний из разных стран мира, которые были зафиксированы в период с 2012 по 2018 годы. За информацию о местонахождении четырёх хакеров было объявлено вознаграждение в размере $10 млн. В обвинении сказано, что одна из целей хакеров заключалась в получении «тайного несанкционированного и постоянного» доступа к сетям энергетических компаний, включая нефтегазовые предприятия, атомные электростанции, коммунальные предприятия и др.


window-new
Soft
Hard
Тренды 🔥
Пользователям Windows 11 смогут использовать ИИ-помощника Copilot без учётной записи Microsoft, но с ограничениями 12 мин.
Google сообщила, что iPhone получат поддержку современного протокола для СМС этой осенью 38 мин.
Microsoft защитила клиентские ИИ-приложения от галлюцинаций 2 ч.
Gearbox отметила уход от Embracer увольнением «бесчисленного множества» сотрудников 2 ч.
ИИ-стартап Илона Маска X.ai представил обновлённую нейросеть Grok-1.5 — она стала ближе к GPT-4 2 ч.
Пользователи Telegram из России, Украины и Беларуси смогут заблокировать сообщения от незнакомцев 2 ч.
«Золотая лихорадка закончилась»: инди-разработчикам стало невыгодно делать свои игры эксклюзивами Epic Games Store и Game Pass 3 ч.
Крупное обновление добавило в No Man’s Sky возможность создавать собственные космические корабли — фанаты мечтали об этом с 2016 года 14 ч.
CD Projekt раскрыла, как продвигается разработка The Witcher 4, и похвасталась успехами Cyberpunk 2077 14 ч.
Громкие анонсы «без рекламы и лишней болтовни»: ведущие инди-разработчики устроят собственную игровую презентацию The Triple-i Initiative 16 ч.