Технологические гиганты все чаще охотятся за хакерами, а ранее эта роль отводилась правоохранительным органам.
Google подает в суд на двух россиян, которые, как он утверждает, стоят за огромной сетью зараженных компьютеров, которые использовались для совершения преступлений: начиная от кражи личной информации и заканчивая тайной добычей биткойнов на компьютерах ничего не подозревающих жертв взлома.
Компания также работала с предприятиями, занимающимися интернет-инфраструктурой, чтобы отключить серверы, используемые хакерами для управления сетью, эффективно сделав «ботнет» зараженных устройств неспособным получать новые команды от своих контроллеров, по крайней мере, временно.
Этот шаг был предпринят на следующий день после того, как Microsoft заявила, что удалила веб-сайты, связанные, по ее мнению, с китайской хакерской группой, которая украла личную информацию. Такие компании, как Microsoft и Google, которые ежедневно видят, как огромные объемы информации из Интернета проходят через их системы, все активнее расследуют и пытаются противодействовать хакерам — практика, которая в прошлом в основном была прерогативой правительственных правоохранительных органов.
Ботнет Glupteba, на который нацелен Google, уже много лет отслеживается правоохранительными органами и экспертами по компьютерной безопасности. Он работает, заставляя пользователей загружать вредоносные программы на свои компьютеры, маскируясь под другие виды программного обеспечения на хитроумных сайтах с бесплатной загрузкой. Оказавшись на компьютере, вредоносное ПО скрывается и пытается распространиться на любые подключенные устройства. Об этом говорится в отчете за 2020 год о Glupteba компании SophosLabs, занимающейся кибербезопасностью.
Google обнаружил, что Glupteba заразила около миллиона устройств Microsoft Windows по всему миру, что сделало ее одним из крупнейших ботнетов, проанализированных экспертами по безопасности. В жалобе, поданной в федеральный суд Нью-Йорка во вторник, Google подробно описал несколько различных преступлений хакеров. Компания считает, что хакеры используют ботнет для сохранения стабильности своей деятельности, осуществляет кражу и продажу информации для входа в учетные записи Google, а также продажу доступа к захваченным устройствам другим преступникам, которые хотят скрыть свою активность в Интернете.
Для распространения вредоносного ПО хакеры использовали собственные сервисы Google. Компания сообщила, что Google удалил около 63 миллионов документов Google, более 1000 учетных записей Google и более 900 проектов Google Cloud, которые использовались для распространения Glupteba.
«Мы не просто закрываем дыры в безопасности, мы работаем над устранением целых классов угроз для потребителей и предприятий, работа которых зависит от Интернета», — заявили в своем блоге генеральный советник Google Халима ДеЛейн Прадо и Ройал Хансен, вице-президент по инженерным вопросам.
Однако компания предупредила, что Glupteba может вскоре вернуться к работе, потому что хакеры, которые ее разработали, внедрили отказоустойчивый механизм, который использует блокчейн биткойнов для выдачи команд. Когда связь между ботнетом и его контроллерами хакеров прерывается, сеть автоматически ищет сообщения о том, как повторно подключиться, которые хакеры публикуют в общедоступном списке транзакций с биткойнами.
«Это действие окажет значительное влияние на деятельность Glupteba, — сказал Шейн Хантли, директор группы анализа угроз Google, в отдельном сообщении в блоге . — Однако операторы Glupteba, вероятно, попытаются восстановить контроль над ботнетом, используя резервный механизм управления и контроля, который использует данные, закодированные в цепочке блоков биткойнов».
В иске Google названы имена двух человек — Дмитрия Старовикова и Александра Филиппова, которые, как он утверждает, входят в число лидеров, контролирующих сеть Glupteba. Оба мужчины создали учетные записи электронной почты Google на том же IP-адресе, который использовался сервером, отправлявшим команды ботнету. Об этом говорится в судебном иске Google. Компания также утверждает, что связывает аккаунты Старовикова и Филиппова в Google с некоторыми сайтами, продающими украденный доступ к компьютерам в ботнете.
Подробности иска показывают, как Google может использовать тот факт, что большинство людей, пользующихся Интернетом, взаимодействуют с его сервисами, чтобы отслеживать людей, которые, по его мнению, нарушают условия обслуживания или совершают преступления.
Google также утверждал, что Филиппов и некоторые веб-сайты, которые он связал с ботнетом, указали свой служебный адрес как находящийся в Башне Российской Федерации, элитном комплексе небоскребов в Москве. В понедельник New York Times сообщила, что следователи по расследованию киберпреступлений выследили другие виды преступных хакерских организаций по тому же адресу.
Перевод статьи The Washington Post «Google disrupted a massive botnet that hackers used to steal information and mine cryptocurrency»