Botnets, também conhecidos como “robot network”. Os poderosos e difundidos scripts de códigos maliciosos projetados por assistentes de código e manejados por agentes de ameaças competentes. No sentido convencional, um botnet é um tipo de backdoor malicioso que foi instalado em um grande número de dispositivos infectados conectados à Internet.

Isso pode permitir que o invasor lance ataques de negação de serviço distribuída (DDoS), registre as sessões ativas de um usuário e roube dados pessoais do dispositivo infectado, distribua spam e acesse para outros sistemas na rede do alvo, para que possa se espalhar ainda mais, adicionando mais máquinas à rede do robô para o ator da ameaça controlar a partir de um servidor de comando e controle. Por esse motivo, um botnet também é conhecido como “exército de zumbis”.

Jindrich Karasek, um pesquisador de ameaças cibernéticas na empresa de segurança cibernética Trend Micro, monitorou uma atividade de malware com foco em mineração de criptomoedas em agosto, após isso ele compartilhou suas descobertas com o BeInCrypto.

Depois de configurar um ambiente Honeypot, que permitiu a Karasek simular dispositivos Android conectados, várias tentativas foram feitas por um ator desconhecido para invadir e presumivelmente instalar um botnet de mineração de criptomoeda ilícito.

De acordo com o pesquisador, alguns cibercriminosos parecem ter mudado seu foco de invadir sistemas de computador para obter acesso a dispositivos baseados em Android, como telefones, quiosques, tablets e TVs inteligentes . Isso não é surpresa, já que toda a vida pessoal das pessoas está confinada a seus dispositivos inteligentes.

O motivo por trás dessa mudança pode ser que os dispositivos são deixados desprotegidos porque muitas vezes as proteções antivírus permanecem ausentes, o que os deixa vulneráveis.

Por causa disso, o malware pode atacar os dispositivos procurando portas abertas do Android Debug Bridge (ADB) e tem recursos de propagação aproveitando o Secure Socket Shell (SSH), que é um protocolo de rede cripto para fornecer login remoto seguro, mesmo em redes não seguras.

Isso é possível porque as portas ADB abertas não requerem chaves de autenticação por padrão, o que é semelhante aos recursos de propagação do botnet Satori – também conhecido como “Masuta”, a variante do botnet Mirai – que fez manchetes no ano passado e em junho deste ano, quando vários operadores de botnet foram presos por infectar centenas de milhares de roteadores sem fio vulneráveis ​​e outros dispositivos conectados à Internet of Things (IoT).

Um malware versátil em movimento

O malware de cryptojacking está em cena há anos. Ele encontra uma maneira de invadir os dispositivos de rede das pessoas, se enterra no sistema e começa a roubar recursos e, claro, coleta cripto por meios ilícitos. Durante os primeiros seis meses de 2019, cibercriminosos supostamente realizaram 52,7 milhões de ataques de criptojacking .

Karasek expôs sobre um botnet de mineração de cripto em particular, explicando que ele tenta invadir várias arquiteturas de IoT e chips móveis, como arquiteturas ARM, x86, m68k, mips, msp, ppc , e sh4.

De acordo com o pesquisador o endereço IP do agente da ameaça estava digitalizando a Internet em busca de portas ADB abertas em dispositivos Android de frente para a Internet.

Assim como todos os mineradores, ele emprega uma técnica de evasão que diminui o poder computacional do dispositivo Android, reconfigurando os recursos do sistema para funcionar de forma mais eficiente e ajudar a garantir sua própria existência permanecendo o mais discreto possível.

Ele elaborou sobre a forma como o bot seria capaz de infectar efetivamente os usuários do Android, esclarecendo que a segurança dos dispositivos Android normalmente não é configurada de forma a permitir que uma ameaça pule de um dispositivo para outro na rede. No entanto, o método de difusão ideal seria um ponto de acesso sem fio público. Karasek continuou:

“Imagine um aeroporto, uma grande sala de conferências ou um shopping center. Eles podem ter muitos monitores, TVs e outros dispositivos baseados em Android conectados à rede para uma melhor administração. Ou dispositivos Android mais antigos, conectados de forma imprudente à rede sem qualquer proteção. É esse o caso. ”

À medida que a narrativa se aprofunda, Karasek observou que o código-fonte do botnet foi escrito de forma muito simples e até genericamente, o que significa que ele não possui características únicas que muitas vezes aparecem por escritores de código que desenvolvem um tipo de estilo único próprio, da mesma forma que a literatura escrita por autores famosos ressoa com uma certa personalidade que é única para seu estilo de escrita individual. Karasek disse:

“Parte de sua lógica foi vista com o grupo Outlaw, mas na verdade eles também podem compartilhar o código para uso por script kiddies. Ataques como este apresentam altos níveis de confiança na atividade do cibercriminoso, em vez de atividades relacionadas ao APT. A maioria era atrás de Monero, Litecoin e Bitcoin. ”

A atividade de botnet não é específica do país, de acordo com Karasek. “Minha estimativa com base na experiência é que o ganho não passa de milhares de dólares. Mineração como essa não é mais muito eficaz. Ainda o suficiente para apoiar um pequeno grupo de operadores, mas não o suficiente para gerar lucro para uma grande organização ”, concluiu.

Monero (XMR) fez seu caminho nas manchetes no início deste ano, graças em parte ao início de um novo botnet de criptomoeda batizado de “Prometei” por pesquisadores que trabalham na Cisco Talos.

Em 2018, um botnet crypto mine conhecido como Smoninru invadiu meio milhão de dispositivos de computação, que assumiram o comando dos dispositivos e os forçaram a minerar cerca de 9.000 moedas Monero. Os proprietários dos dispositivos não sabiam que seus dispositivos haviam sido comprometidos.

Desde 2019, Monero é a criptomoeda preferida entre cibercriminosos em economias uderground, de acordo com um estudo publicado por pesquisadores acadêmicos na Espanha e no Reino Unido. Na época, mais de 4% de todo o XMR em circulação era extraído por botnets e operações cibercriminosas, com US $ 57 milhões em XMR sacados por criminosos.

Supercomputadores também são um alvo atraente

Smartphones, tablets, smart TVs e computadores pessoais não são os únicos dispositivos que os agentes de ameaças procuram para transportar seus programas de criptojack. Afinal, se a velocidade é essencial na mineração de criptomoeda, os computadores com mais poder são uma escolha óbvia.

Hoje em dia, não deveria ser uma surpresa que os agentes de ameaças estejam visando supercomputadores, que fornecem os cálculos mais rápidos na terra. No sentido convencional, os supercomputadores são normalmente usados ​​para realizar cálculos científicos milhares de vezes mais rápido do que os PCs tradicionais.

Assim, supercomputadores são obviamente um alvo ideal na mente de um minerador cripto ilícito, que busca se beneficiar de seu poder de computação extremo.

Por exemplo, a velocidade de desempenho de um supercomputador é geralmente medida em operações de ponto flutuante por segundo, chamadas de “FLOPS”, em oposição a um milhão de instruções por segundo.

Para colocar isso em perspectiva, tome por exemplo o supercomputador mais rápido do mundo, conhecido como The Titan, o supercomputador Cray Titan no Oak Ridge National Laboratory, com sede no Tennessee, que é capaz de realizar 27.000 trilhões de cálculos por segundo – uma velocidade máxima teórica de 27 petaflops.

Conforme relatado, vítimas nos Estados Unidos, Canadá, China, partes da Europa, Reino Unido, Alemanha e Espanha parecem têm sido os alvos em uma sequência recente de ataques de botnet de mineração de criptomoeda contra laboratórios de computação de alto desempenho.

Especialistas em segurança que examinaram as intrusões disseram que todos esses incidentes parecem ter envolvido os agentes de ameaças usando credenciais SSH roubadas obtidas de usuários autorizados, que podem incluir pesquisadores de universidades e seus colegas.

Os pesquisadores realizaram testes em seus sistemas para determinar se eles podiam detectar o malware comparando um código benigno conhecido com um script de mineração Bitcoin malicioso. Por sua vez, eles foram capazes de determinar que seus sistemas podiam identificar o código malicioso sem demora, o que se provou mais confiável do que usar testes convencionais.

As intrusões nos supercomputadores fizeram com que eles fossem desligados para que os ataques pudessem ser investigados. Colocar os supercomputadores off-line permite que os investigadores forenses isolem o código malicioso, impedindo que o ator da ameaça envie comandos aos computadores infectados ou apague as evidências da intrusão.

Quando os fatos são expostos, é compreensível supor que os usuários e responsáveis ​​pela resposta a incidentes estão perdendo a luta contra esses malfeitores. No entanto, nada poderia estar mais longe da verdade.

Os responsáveis ​​pela resposta às ameaças cibernéticas estão se defendendo com contra-armas próprias. Por exemplo, no mês passado, cientistas da computação do Laboratório Nacional de Los Alamos foram capazes de projetar um novo sistema de inteligência artificial (IA) de última geração que tem a capacidade de possivelmente identificar malware com o objetivo de penetrar em supercomputadores para minerar criptomoedas.

Gopinath Chennupati, pesquisador do Laboratório Nacional de Los Alamos, disse:

“Com base em recentes invasões de computadores na Europa e em outros lugares, esse tipo de vigilância de software logo será crucial para evitar que os mineradores de criptomoedas invadam instalações de computação de alto desempenho e roubem recursos de computação preciosos. Nosso modelo de inteligência artificial de aprendizado profundo foi projetado para detectar o uso abusivo de supercomputadores especificamente para fins de mineração de criptomoedas. ”

Encontrar novas maneiras de atacar e proteger

As opiniões são divididas quanto à segurança dos dispositivos baseados em Android . Bilhões de pessoas usam smartphones ou tablets Android, com muitos modelos de telefone mais antigos que não podem ser atualizados com o firmware mais recente ou com os patches e atualizações de segurança mais recentes, e isso não leva em conta o volume de usuários Android que, por preferência, atrasam as atualizações obrigatórias , que expõe seus dispositivos a possíveis ataques.

Entre fotos pessoais, mensagens, senhas salvas e carteiras eletrônicas – que se tornaram itens essenciais que permitem aos usuários interagir social e economicamente – quando um ator de ameaça desconhecido invade e ganha acesso a isso tipo de “projeto digital”, que define nosso espaço pessoal, é sentido como a violação final. Adicione o roubo do salário arduamente ganho de um indivíduo à mistura, e os efeitos são catastróficos em um nível pessoal.

Por outro lado, mesmo que malfeitores estejam proliferando e descobrindo novas maneiras de tirar proveito dos usuários e de seus dispositivos inteligentes ou supercomputadores universitários, os pesquisadores de segurança estão lá, desenvolvendo e a implementando inovações definidas para ajudar os usuários e a indústria a ganhar vantagem nesta batalha acirrada entre os cibercriminosos e o mundo interconectado em que vivemos.