Περιεχόμενα Άρθρου
- Ερευνητές ασφαλείας από το Lumen’s Black Lotus ερευνούσαν το botnet ngioweb για περισσότερο από ένα χρόνο
- Αφού εντόπισε την υποδομή και την κίνηση, η εταιρεία άρχισε να μπλοκάρει τη ροή δεδομένων
- Ως αποτέλεσμα, το botnet και η υπηρεσία διακομιστή μεσολάβησης NSOCKS διακόπτονται σοβαρά
Οι ερευνητές ασφαλείας διέκοψαν ένα σημαντικό κακόβουλο botnet και, ως εκ τούτου, έβλαψαν την υπηρεσία διακομιστή μεσολάβησης που τροφοδοτούσε.
Ερευνητές κυβερνοασφάλειας από το Lumen’s Black Lotus κυκλοφόρησαν μια νέα έκθεση λέγοντας ότι απέκλεισαν όλη την κίνηση στο παγκόσμιο δίκτυό τους που πήγαινε προς ή από την αποκλειστική υποδομή που σχετίζεται με το botnet «ngioweb».
Το botnet Ngioweb, το οποίο εντοπίστηκε για πρώτη φορά στα μέσα του 2023, λειτουργούσε περισσότερα από 35.000 bot (βασικά σε κίνδυνο) κάθε μέρα. Τα bot βρίσκονταν σε 180 χώρες και χρησιμοποιήθηκαν, πρώτα και κύρια, για την τροφοδοσία της υπηρεσίας μεσολάβησης NSOCKS. Αυτή η «διαβόητη εγκληματική υπηρεσία πληρεξουσίου», όπως την περιγράφει η Black Lotus, συνδέεται με τον ηθοποιό απειλών γνωστό ως Muddled Libra. Υπάρχουν επίσης ενδείξεις ότι ο διακομιστής μεσολάβησης χρησιμοποιήθηκε από φορείς απειλών που χρηματοδοτούνται από το κράτος, όπως το APT28 (γνωστός και ως FancyBear, γνωστός Ρώσος παράγοντας απειλών).
Διαταραχή της λειτουργίας
«Τουλάχιστον το 80% των bot NSOCKS στην τηλεμετρία μας προέρχεται από το botnet ngioweb, χρησιμοποιώντας κυρίως δρομολογητές μικρού γραφείου/οικιακού γραφείου (SOHO) και συσκευές IoT. Τα δύο τρίτα αυτών των πληρεξούσιων εδρεύουν στις ΗΠΑ», είπαν οι ερευνητές.
Μια υπηρεσία διακομιστή μεσολάβησης επιτρέπει στους φορείς απειλών να εκτελούν διαφορετικές κακόβουλες καμπάνιες, ενώ αποκρύπτουν την πραγματική τους ταυτότητα και τοποθεσία, χρησιμοποιώντας έναν «διαμεσολαβητή» – ή μια συσκευή μεσάζοντα.
Εκτός από τη λειτουργία ως διακομιστής μεσολάβησης, το botnet ngioweb θα μπορούσε επίσης να χρησιμοποιηθεί για την προσάρτηση διασπαστικών επιθέσεων κατανεμημένης άρνησης υπηρεσίας (DDoS).
Η Lumen χρειάστηκε περισσότερο από ένα χρόνο για να αναλύσει το botnet και τις λειτουργίες του και, ενώ δεν μπορούσε να συμπεράνει πώς ακριβώς είχε παραβιαστεί το υλικό, υπέθεσε ότι πιθανότατα οφείλεται σε διάφορα τρωτά σημεία της ημέρας.
Την ώρα που δημοσιεύεται, ο διακομιστής μεσολάβησης NSOCKS και το υποκείμενο botnet ngioweb διαταράσσονται σε μεγάλο βαθμό από το Lumen και τους συνεργάτες του, δεδομένου ότι οι ερευνητές βρήκαν τόσο την αρχιτεκτονική όσο και την κυκλοφορία του botnet.
Μέσω BleepingComputer
Μπορεί επίσης να σας αρέσει
