Stantinko Botnet
Το Stantinko Botnet είναι γνωστό ότι ήταν ενεργό από το 2012. Οι απατεώνες του κυβερνοχώρου πίσω από αυτό κατάφεραν κατά κάποιον τρόπο να διατηρήσουν αυτό το botnet ενεργό για επτά χρόνια, το οποίο είναι μάλλον εντυπωσιακό. Φαίνεται ότι τα περισσότερα από τα συστήματα, τα οποία αποτελούν μέρος του Stantinko Botnet, βρίσκονται στις πρώην σοβιετικές χώρες - τη Ρωσία, την Ουκρανία, τη Λευκορωσία, το Καζακστάν κλπ. Εκτιμάται ότι το Stantinko Botnet αποτελείται από πάνω από 500.000 συμβιβασμένα μηχανήματα . Τα περισσότερα botnets χρησιμοποιούνται για επιθέσεις DDoS (Distributed-Denial-of-Service). Εντούτοις, αυτό που είναι ενδιαφέρον για το Stantinko Botnet είναι ότι παρά το μεγάλο του μέγεθος, αυτό το botnet δεν έχει ακόμη χρησιμοποιηθεί για επίθεση DDoS. Αντ 'αυτού, οι φορείς εκμετάλλευσης του Stantinko Botnet το χρησιμοποίησαν σε διάφορες άλλες εκστρατείες, συμπεριλαμβανομένων μαζικών μηνυμάτων spam, συλλογής ευαίσθητων δεδομένων, ψευδών διαφημίσεων, απάτης κλπ.
Πίνακας περιεχομένων
Το Botten Stantinko χρησιμοποιείται για ορυχεία Monero
Πρόσφατα, οι χειριστές του Stantinko Botnet επέλεξαν να προσθέσουν την εξόρυξη κρυπτοσυχνοτήτων στον κατάλογο των καθηκόντων τους. Χρησιμοποιούν έναν ορυχείο cryptocurrency που είναι χτισμένος χάρη σε ένα έργο ανοικτού πηγαίου κώδικα που οι επιτιθέμενοι έχουν αλλάξει ελαφρώς. Οι περισσότερες απειλές αυτού του τύπου βασίζονται στην XMRig , αλλά οι χειριστές του Stantinko Botnet επέλεξαν να τροποποιήσουν και να χρησιμοποιήσουν το έργο 'xmr-stak'. Ο ανθρακωρύχος που χρησιμοποιείται από το Stantinko Botnet χρησιμεύει για την εξόρυξη κρυπτογράφησης Monero. Οι χειριστές του Stantinko Botnet έχουν φροντίσει να γελοιοποιήσουν τη μονάδα εξόρυξης σε μεγάλο βαθμό για να κάνουν τη διόρθωσή της πολύ πιο πολύπλοκη.
Λαμβάνει τις διευθύνσεις IP από τις περιγραφές βίντεο του YouTube
Ένα άλλο τέχνασμα θωράκισης που χρησιμοποιούν οι χειριστές του Stantinko Botnet είναι η μέθοδος επικοινωνίας που χρησιμοποιείται στις καμπάνιες του. Αντί να χρησιμοποιήσουν μια σταθερή δεξαμενή εξόρυξης, οι δημιουργοί του Stantinko Botnet επέλεξαν να αρπάξουν τις διευθύνσεις IP από τις περιγραφές διαφόρων βίντεο του YouTube που ανεβάζουν στην πλατφόρμα. Φυσικά, οι διευθύνσεις που χρησιμοποιεί το Stantinko Botnet δεν είναι άμεσα διαθέσιμες, αλλά πρέπει πρώτα να αποκωδικοποιηθούν.
Τεχνικές αυτοσυντήρησης
Για να διασφαλιστεί ότι το κακόβουλο λογισμικό τους χρησιμοποιεί όλη την υπολογιστική ισχύ του υποβαθμισμένου κεντρικού υπολογιστή, οι συγγραφείς αυτής της απειλής έχουν συμπεριλάβει ένα χαρακτηριστικό το οποίο είναι ικανό να ανιχνεύσει οποιονδήποτε άλλο εξόρυξη κρυπτοσυχνοτήτων που μπορεί να υπάρχει στο σύστημα. Εάν εντοπιστεί κάποιος άλλος ανθρακωρύχος, το κακόβουλο πρόγραμμα που χρησιμοποιούν οι δημιουργοί του Stantinko Botnet θα το τερματίσει. Φαίνεται ότι οι χειριστές του Stantinko Botnet έχουν επίσης εφαρμόσει μια τεχνική αυτο-συντήρησης στην κρυπτοποιητική μονάδα τους. Ο ανθρακωρύχος είναι σε θέση να καθορίσει αν ο χρήστης έχει ξεκινήσει το Task Manager των Windows και αν έχει, η μονάδα εξόρυξης θα σταματήσει τη δραστηριότητά της. Αυτό γίνεται για να αποφευχθεί η επισήμανση από το θύμα, καθώς θα είναι προφανές ότι κάτι είναι λάθος όταν ο χρήστης βλέπει πόση CPU χρησιμοποιείται. Αυτό το έξυπνο τέχνασμα καθιστά πολύ πιο δύσκολο να εντοπιστεί η δραστηριότητα του ανθρακωρύχου κρυπτοσυχνοτήτων και καθιστά πιθανότερη την απειλή να συνεχίσει να λειτουργεί για μεγαλύτερο χρονικό διάστημα. Το Stantinko Botnet είναι επίσης σε θέση να εντοπίσει οποιαδήποτε εφαρμογή κατά του κακόβουλου λογισμικού που μπορεί να υπάρχει στο κατεστραμμένο μηχάνημα. Ωστόσο, είναι αρκετά ενδιαφέρον να μην ληφθούν μέτρα για την απόκρυψη της επιβλαβούς δραστηριότητας της απειλής, ακόμη και αν υπάρχει λογισμικό προστασίας από ιούς στον μολυσμένο ξενιστή.
Τα σκιερά άτομα πίσω από το Stantinko Botnet κάνουν καλή δουλειά, επεκτείνοντας το δίκτυό τους και παραμένουν ενεργά, ακόμα και μετά από επτά χρόνια λειτουργίας. Το Stantinko Botnet έχει μεγάλες δυνατότητες να προκαλέσει σοβαρό πρόβλημα και αφού είναι ενεργός για τόσο πολύ καιρό, είναι απίθανο οι εγκληματίες που εκμεταλλεύονται αυτό το botnet να έχουν οποιαδήποτε πρόθεση να σταματήσουν τη δραστηριότητά τους σύντομα.
