Nowy botnet HLUX - przyk艂ad przest臋pczo艣ci zorganizowanej

Kaspersky Lab informuje o pojawieniu si臋 nowej wersji botnetu HLUX, kt贸rego pierwowz贸r zosta艂 niedawno zamkni臋ty przez ekspert贸w z Kaspersky Lab przy wsp贸艂pracy z firmami Microsoft, SurfNET i Kyrus Tech. W艂a艣ciciele tej sieci zainfekowanych komputer贸w uczestnicz膮 w niemal ka偶dym znanym rodzaju przest臋pczo艣ci internetowej, w tym: wysy艂anie spamu, kradzie偶 hase艂, manipulowanie wyszukiwarkami oraz ataki DDoS na strony WWW.

Warto wyja艣ni膰, 偶e od艂膮czony jaki艣 czas temu botnet HLUX nadal znajduje si臋 pod kontrol膮 Kaspersky Lab, a zainfekowane komputery nie mog膮 otrzymywa膰 polece艅 od cyberprzest臋pc贸w, dzi臋ki czemu nie mog膮 by膰 wykorzystywane w masowych wysy艂kach spamu.

Najnowsze informacje dotycz膮 nowej wersji botnetu HLUX - jest to zupe艂nie inna sie膰 zainfekowanych komputer贸w, jednak szkodliwe oprogramowanie wykorzystywane przez cyberprzest臋pc贸w do atakowania i do艂膮czania nowych maszyn zosta艂o stworzone przy u偶yciu tego samego kodu HLUX.

Co robi szkodliwy program wykorzystywany do tworzenia nowego botnetu?

Szkodnik, kt贸rego cyberprzest臋pcy u偶ywaj膮 do zwi臋kszania ilo艣ci zainfekowanych komputer贸w w botnecie HLUX rozprzestrzenia si臋 sam i posiada mo偶liwo艣膰 przeprowadzania atak贸w DDoS, pozwalaj膮cych na spowolnienie lub ca艂kowite zatrzymanie funkcjonowania serwer贸w pod艂膮czonych do internetu. Dodatkowo, szkodliwy program posiada nast臋puj膮ce funkcje:
  • infekowanie pami臋ci flash (na przyk艂ad pendrive),
  • wyszukiwanie w plikach konfiguracyjnych systemu operacyjnego informacji o programach s艂u偶膮cych do obs艂ugi serwer贸w FTP,
  • mo偶liwo艣膰 kradzie偶y portfeli Bitcoin oraz tworzenia w艂asnej kopalni Bitcoin,
  • mo偶liwo艣膰 dzia艂ania w trybie serwera proxy,
  • wyszukiwanie adres贸w e-mail w plikach znajduj膮cych si臋 na komputerze,
  • przechwytywanie hase艂, sesji FTP oraz HTTP w ruchu sieciowym.

Do jakich cel贸w cyberprzest臋pcy wykorzystuj膮 nowego HLUXa?

Tak jak poprzednio, botnet HLUX otrzymuje g艂贸wnie polecenia rozprzestrzeniania spamu. Jednak, na komputerach przy艂膮czanych do sieci zainfekowanych komputer贸w instalowany jest r贸wnie偶 szkodliwy program, kt贸rego g艂贸wnym zadaniem jest manipulowanie wyszukiwarkami. W wyniku jego dziania u偶ytkownicy zamiast widzie膰 to, czego szukaj膮, patrz膮 na informacje, kt贸re chc膮 im wy艣wietli膰 cyberprzest臋pcy.

Przechwycone dane dost臋powe do serwer贸w FTP s膮 wykorzystywane przez cyberprzest臋pc贸w do umieszczania szkodliwych skrypt贸w Java na stronach WWW. Skrypty te przekierowuj膮 u偶ytkownik贸w zhakowanych stron do zestawu szkodliwych program贸w infekuj膮cych poprzez wykorzystanie szeregu luk w zabezpieczeniach system贸w operacyjnych oraz aplikacji.

Innymi s艂owy, cyberprzest臋pcy stoj膮cy za HLUXem robi膮 wszystko, co tylko mog膮, by przy艂膮cza膰 nowe komputery do botnetu, i atakuj膮 u偶ytkownik贸w na wszelkie mo偶liwe sposoby.

Cyberprzest臋pczo艣膰 zorganizowana

Botnet HLUX, zar贸wno stary, jak i nowy, to klasyczny przyk艂ad internetowej przest臋pczo艣ci zorganizowanej. W艂a艣ciciele tej sieci zainfekowanych komputer贸w uczestnicz膮 w niemal ka偶dym znanym rodzaju cyberprzest臋pczo艣ci.

"Pojawianie si臋 nowych wersji botnet贸w nie nale偶y do rzadko艣ci i stanowi jedno z wyzwa艅, jakie stoj膮 przed bran偶膮 bezpiecze艅stwa IT" - komentuje Siergiej Golowanow, ekspert z Kaspersky Lab. "Mo偶emy zneutralizowa膰 ataki i op贸藕ni膰 dzia艂alno艣膰 cyberprzest臋pcz膮, jednak jedynym sposobem unicestwienia botnet贸w jest aresztowanie i os膮dzenie ich tw贸rc贸w oraz grup, kt贸re z nich korzystaj膮. Jest to trudne zadanie, poniewa偶 firmy zajmuj膮ce si臋 bezpiecze艅stwem musz膮 stosowa膰 si臋 do r贸偶nych polityk oraz praw obowi膮zuj膮cych w krajach, w kt贸rych zlokalizowane s膮 sieci zainfekowanych komputer贸w. To sprawia, 偶e dochodzenia prowadzone przez organy 艣cigania i procesy s膮dowe s膮 d艂ugotrwa艂e i skomplikowane".

Eksperci z Kaspersky Lab b臋d膮 w dalszym ci膮gu monitorowali, i w miar臋 swoich mo偶liwo艣ci utrudniali, dzia艂ania cyberprzest臋pc贸w stoj膮cych za nowym botnetem HLUX.

殴ród艂o:
Kaspersky Lab