Jeigu manėte, kad programišiai „zombiais“ paversti gali tik stacionariuosius arba stalinius kompiuterius ar menkai apsaugotus daiktų interneto mazgus, smarkiai klystate. Dabar jie nusitaikė ir į kiekvieno mūsų kišenėse esančius išmaniuosius telefonus, rašo „Ars Technica“.
Praėjusiais metais nuvilnijusi galingų kibernetinių atakų banga, kurios metu nukentėjo svetainė „Krebs on Security“, Prancūzijos prieglobos paslaugų teikėjas ir kiti veikėjai, parodė naują grėsmę: į zombiais vadinamų kompiuterių tinklą, išnaudojamą rengiant DDoS (Paskirstytojo atsisakymo aptarnauti, angl. Distributed Denial of Service) atakas, galima jungti ne tik kompiuterius, bet ir tokius dalykus kaip prie interneto prijungtos vaizdo kameros ar kitus panašius interneto prieigą turinčius aparatus. Tai sukėlė stiprų kibernetinio saugumo ekspertų sujudimą.
Tačiau visai neseniai buvo paskelbta apie naują platformą, panaudotą vykdant galingas DDoS atakas. Šioje atakoje vykdytojai buvo šimtai tūkstančių menkai apsaugotų išmaniųjų įrenginių (telefonų ir planšetinių kompiuterių), naudojančių „Google Android“ operacinę sistemą. Įrenginius zombiais paversdavo maždaug 300 programėlių, kurios buvo platinamos per oficialią „Google Play“ programėlių parduotuvę. Po įdiegimo šios programėlės įtraukdavo įrenginius į blogiems tikslams naudojamą tinklą ir priversdavo juos siųsti bereikšmes užklausas tam tikrais interneto adresais, siekiant sutrikdyti taikinių veikimą arba apsunkinti jų prieinamumą normalioms užklausoms.
Tinklas „WireX“ vienu metu buvo išsiplėtęs iki daugiau nei 120 000 IP adresų, išsklaidytų per 100 valstybių. Netikros užklausos būdavo formuojamos kaip HTTPS užklausos, skirtos specifinėms svetainėms – daugelio jų valdytojai prieš atakų pradžią gaudavo įspėjimą, kad jų svetainė bus atakuojama jeigu nebus sumokėta išpirka. Išsklaidžius gausius atakos vykdytojus į tokį platų geografinį spektrą ir užmaskavus žalingas užklausas kaip paprastus interneto kreipinius programišiai sumažino gynybos nuo DDoS išpuolių efektyvumą – tokios apsaugos paslaugas teikiančios bendrovės kurį laiką sunkiai susigaudė, kaip šie išpuoliai vykdomi. Programišiai, bandydami užtvindyti tarnybines stotis taip, kad šios nebegalėtų dirbti normaliu režimu, sugebėjo generuoti iki 20 000 HTTP užklausų per sekundę.
Iš pirmo žvilgsnio 20 000 užklausų per sekundę gali pasirodyti kaip ne tokia jau grėsminga kibernetinė ataka, tačiau pasirinkus tinkamą taikinį jos poveikis gali būti reikšmingas. Pavyzdžiui, jeigu visos užklausos nukreipiamos svetainės paieškos varikliui, jos gali sunaudoti milžinišką kiekį tarnybinės stoties pajėgumų. Vienos iš septynių organizacijų, padėjusių neutralizuoti „WireX“ tinklą, saugumo ekspertas Justinas Paine'as pasakojo, kad jis su kolegomis įsitikinęs, jog šį zombių tinklą pavyko sunaikinti dar pačioje jo gyvavimo pradžioje – jo valdytojai dar tik didino jo puolamąją galią.
„Manome, kad šį botnetą identifikavome ir veiksmų prieš jį ėmėmės ankstyvoje jo augimo stadijoje. Laimei, mūsų grupės pastangos nustatė ir neutralizavo šį tinklą dar prieš jam išaugant į gerokai didesnį“, – sakė turinio platinimo tinklo „Cloudflare“ saugumo vadovas.
Kitos bendrovės, dalyvavusios operacijoje prieš „WireX“ – „Akamai“, „Flashpoint“, „Google“, „Dyn“, „RiskIQ“ ir „Team Cymru“.
Tinklo neutralizavimui buvo reikalingas visų septynių organizacijų bendras darbas ir dalijimasis duomenimis, kurie buvo sukaupti bandant išsiaiškinti, kas sukėlė kibernetines atakas, prasidėjusias, kaip manoma, šių metų rugpjūčio 2 dieną. Kibernetinio saugumo ekspertai greitai nustatė, kad visų puolėjų naršyklės identifikavosi kaip 26 mažųjų anglų kalbos abėcėlės raidžių atsitiktinė seka. Tai padėjo ekspertams nustatyti, kad visos atakos buvo atliekamos iš piktybinių programėlių, įdiegtų į „Android“ įrenginius. Netrukus jiems pavyko nustatyti ir programėlės pavadinimą – twdlphqg_v1.3.5_apkpure.com.apk. Atlikus paiešką pavyko atrasti ir dar 300 piktybinių programėlių, kurias „Google“ blokavo oficialioje programėlių parduotuvėje ir pašalino iš jau infekuotų įrenginių.
Daugeliu atveju programėlės vartotojams buvo pristatomos kaip daugialypė terpės turinio grotuvai, rinkmenų valdymo priemonės, skambučių tonai. Tačiau įsirašius tokias programėles jos, nepastebimai vartotojui, koordinuotai su kitais įrenginiais siųsdavo užklausas atakuojamoms svetainėms. Programėlės buvo sukurtos taip, kad veiktų nematomu „foniniu“ režimu, tad išpuoliams galėjo būti naudojamos net tada, kai nebuvo regimai įjungtos ir aktyviai naudojamos. Programėlių pavadinimai nėra atskleidžiami.
Atnaujinti „Android“ antivirusinių programų paketai šias programėles identifikuos kaip „Android Clicker“ trojaną, kuris buvo naudojamas automatizuotam reklamų spaudymui ir neteisėtam lėšų generavimui. Publikuotoje saugumo ataskaitoje įmonės pateikė informacijos apie šio botneto valdymo serverius ir kitas detales, kurios gali pasirodyti naudingos techniškai labiau išprususiems vartotojams.
Anot J.Paine'o, „WireX“ yra vienas iš pirmųjų ir neabejotinai didžiausias „Android“ įrenginių pagrindu sukurtas botnetas. Praėjusiais metais DDoS išpuolių neutralizavimo paslaugos teikėjai „Incapsula“ buvo paskelbę apie kitą „Android“ pagrindu suformuotą botnetą.
Paieška archyve
