Аналитики израильской компании Check Point представили подробнейший отчет о работе набора эксплоитов Nuclear, детально изучив инфраструктуру всего сервиса, а также вредоносные кампании, использующие Nuclear в ходе своих атак. По данным специалистов, создатель Nuclear, это россиянин, проживающий в Краснодаре и зарабатывающий на своем детище порядка 100 000 долларов в месяц.
Согласно отчету, Nuclear распространяется в популярном сегодня формате MaaS (Malware-as-a-Service), то есть сдается в аренду по подписке.
Исследователи пришли к выводу, что ведущим разработчиком Nuclear выступает один человек, который живет в Краснодаре. Разумеется, он работал над набором эксплоитов не один, на разных этапах ему помогали другие разработчики, к тому же управлять таким сервисом в одиночку – сложно. Тем не менее, основным автором Nuclear назван именно неизвестный краснодарец,
Схема инфраструктуры Nuclear
Инфраструктура сервиса проста: центральное место здесь занимает главный сервер создателя Nuclear, через который он управляет всем и предоставляет доступ к своей инфраструктуре другим хакерам, оплатившим подписку.
Любой, кто заплатил хозяину Nuclear, получает в распоряжение собственный сервер, которым легко управлять благодаря удобной контрольной панели и наглядной статистике. С сервера осуществляется контроль за распространением малвари.
Еще на один уровень ниже расположилось множество серверов поменьше, они отвечают за так называемые «landing pages», то есть хостят веб-страницы, на которые перенаправляются жертвы, чтобы получить порцию малвари.
Схема атаки, использующей набор эксплоитов Nuclear
Исследователи Check Point пишут, что на момент проведения расследования им удалось обнаружить 15 арендованных серверов. Суммировав плату за аренду сервера и гонорар создателя Nuclear, аналитики подчитали, что автор набора эксплоитов зарабатывает порядка $100 000 ежемесячно.
Чтобы избежать проблем с законом, автор Nuclear ограничивает свою малварь по географическому признаку. Эксплоит кит не атакует пользователей из России, Украины, Азербайджана, Армении, Беларуси, Грузии, Казахстана, Киргизстана, Молдовы, Таджикистана и Узбекистана. Однако эти ограничения несильно стесняют Nuclear. Только за время наблюдений исследователи Check Point зафиксировали 1 846 678 атак: именно столько пользователей за это время посетили целевые страницы злоумышленников. Фактическому заражению подверглись 9,95% этих пользователей, то есть Nuclear доставил малварь на 184 568 компьютеров.
Набор эксплоитов распространяет самых разных вредоносов. Так, за время наблюдений на устройства жертв было доставлено 144 478 криптовымогателей, 54 403 банковских трояна, 193 бота для кликфрода и 172 руткита.
Лидером по числу заражений стал вымогатель Locky, на его счету более 110 000 жертв. Если учесть, что операторы шифровальщика требуют от каждого пострадавшего выкуп в размере 0,5 биткоина (порядка $230), выходит, что эти арендаторы Nuclear заработали $12 650 000. Данные были основаны на статистике компании Bitdefender, которая подсчитала, что выкуп операторам шифровальщиков выплачивает в среднем каждая вторая жертва.
Исследователи Check Point пишут, что их детальные изыскания (первая часть которых была опубликована еще в апреле 2016 года), похоже, напугали злоумышленника, и на данный момент все известные серверы Nuclear прекратили свою работу.
Исследователи разработали вектор атаки, работающий практически против каждого VPN-приложения и заставляющий отправлять и получать трафик за пределами зашифрованного туннеля. Метод получил имя TunnelVision.
Фактически TunnelVision в случае использования нивелирует все преимущества VPN-приложений, основная задача которых — помещать входящий и исходящий трафик в зашифрованный туннель и скрывать реальный IP-адрес пользователя.
По словам специалистов, их метод затрагивает все VPN-приложения, уязвимые в момент подключения к вредоносной сети. Более того, эксперты также отметили, что защититься от такой атаки нельзя, если только VPN не запущен в системах Linux или Android.
Вектор TunnelVision стал актуальным в далёком 2002 году. На сегодняшний день, по оценкам исследователей, злоумышленники могут использовать его в реальных кибератаках.
В посвящённом TunnelVision видеоролике Leviathan Security поясняет: трафик целевого пользователя демаскируется и направляется через атакующего, последний может прочитать, удалить или видоизменить утёкший трафик.
Суть TunnelVision основывается на взаимодействии с DHCP-сервером, выделяющим устройствам IP-адреса. Атака задействует параметр, известный как опция 121, для перенаправления данных на сам DHCP-сервер. Опция 121 позволяет серверу отменять правила маршрутизации по умолчанию.
Интересно, что Android — единственная операционная система, полностью защищающая VPN-приложения от TunnelVision, поскольку в ней не задействуется опция 121.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
