Обнаружен ботнет Skynet с управлением через анонимную сеть TOR

Обнаружен ботнет Skynet с управлением через анонимную сеть TOR

Специалисты по сетевой безопасности из компании Rapid7 обнаружили, возможно, один из первых ботнетов, в котором связь зараженных машин с управляющим сервером выполнялась с помощью технологии TOR, обеспечивающей анонимный доступ к Интернету.

Первооткрыватели ботнета, получившего название Skynet, как искусственный интеллект в фильмах про Терминатора, предупредили, что в ближайшее время эту практику могут взять на вооружение и другие ботнеты, что сильно затруднит обнаружение и нейтрализацию их управляющих серверов.

Технология TOR, о которой мы не раз писали, была создана военными специалистами США в расчете на то, что с ее помощью подвергаемые гонениям активисты в странах с тоталитарными режимами смогут беспрепятственно общаться со своими единомышленниками и соратниками по подрывной работе против государства. Многоуровневая анонимизация в сети TOR почти исключает возможность перехвата и прослушки сообщений. Кроме того, через сеть TOR-ретрансляторов в странах с фильтрацией Интернета можно получать доступ к любым закрытым ресурсам за счет использования «выходных TOR-узлов» в странах с менее жестким режимом доступа. По прошествии времени выяснилось, что технология TOR открыла настоящий ящик Пандоры не только для правозащитников, но и для настоящих киберпреступников, сообщает soft.mail.ru.

Обнаруженный ботнет Skynet, по данным исследователей, представляет собой настоящий многофункциональный комбайн. В частности, Skynet поддерживает организацию распределенных атак на отказ в обслуживании (DDoS), генерацию виртуальной валюты Bitcoin с использованием вычислительных ресурсов графического процессора на зараженных машинах, исполнение произвольного кода по команде оператора, а также похищение реквизитов для доступа к веб-сайтам и банковским счетам пострадавших. Главное же отличие Skynet заключается в том, что доступ к его серверам управления возможен только через сеть TOR по протоколу Tor Hidden Service.

Традиционно протокол Tor Hidden Service используется для анонимного доступа к обычным веб-сайтам, а также к чат-серверам IRC и некоторым другим сервисам, включая удаленное управление по протоколу SSH (Secure Shell). Адрес такого сервиса выглядит как случайная последовательность символов с расширением .onion в качестве псевдо-домена верхнего уровня. По мнению представителей компании Rapid7, на данный момент не существует способов отследить и нейтрализовать управляющие серверы ботнета, скрытые с помощью протокола TOR Hidden Service.

По оценкам компании Rapid7 сейчас ботнет Skynet охватывает около 12-15 тысяч зараженных компьютеров. За семь месяцев, прошедших после обнаружения первых признаков этого ботнета, число пораженных машин увеличилось почти на 50 %. В состав ботнет-клиента, который устанавливается на машину жертвы, входит специальный бот с управлением через IRC-чат (этот бот умеет запускать несколько типов DDoS-атак и других действий), собственный TOR-клиент для Windows, модуль для «добычи» Bitcoin-валюты (путем сложных расчетов на графическом процессоре), а также специальная версия известного троянца Zeus с возможностью внедрения в браузер и кражи пользовательских данных для доступа к веб-сайтам и банковским счетам. Несмотря на то, что сеть TOR имеет ряд недостатков, включая большие задержки и невысокую пропускную способность, для передачи команд узлам ботнета этого вполне достаточно, как при запуске DDoS-атаки.

Еще один примечательный факт – каждый зараженный компьютер в ботнете Skynet сам становится TOR-ретранслятором, что делает сеть TOR еще более крупной и устойчивой к нагрузкам, а вместе с ней более устойчивым становится и работающий через нее ботнет.

По мнению специалистов из антивирусных компаний Bitdefender и «Лаборатория Касперского», ботнеты с управлением через TOR не являются такими уж неуязвимыми. Есть средства для борьбы с таким угрозами и на уровне интернет-провайдеров в виде блокирования трафика от всех известных выходных TOR-узлов. С другой стороны, это в итоге может разрушить сам исходный замысел системы TOR, где выходные узлы, теоретически, должны поддерживаться добровольцами в «свободных странах», чтобы оказывать услуги анонимности своим менее удачливыми коллегам, ищущим защиты от преследований.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

HybridPetya: наследник Petya научился обходить защиту UEFI Secure Boot

Исследователи из ESET рассказали о новом вымогателе, получившем имя HybridPetya. Этот зловред напоминает печально известные Petya и NotPetya, но с важным отличием: он умеет обходить механизм безопасной загрузки в UEFI-системах, используя уязвимость, закрытую Microsoft в январе 2025 года.

По словам экспертов, первые образцы HybridPetya были загружены на VirusTotal в феврале.

Принцип работы знаком (встречался у Petya): программа шифрует главную таблицу файлов — ключевую структуру NTFS-разделов, где хранится информация обо всех файлах. Но теперь к этому добавился новый трюк — установка вредоносного EFI-приложения прямо в EFI System Partition.

 

У HybridPetya два основных компонента: инсталлятор и буткит. Именно буткит отвечает за шифрование и вывод «поддельного» окна CHKDSK, будто система проверяет диск на ошибки.

 

На самом деле в этот момент шифруются данные. Если диск уже зашифрован, жертве показывается записка с требованием заплатить $1000 в биткойнах. В кошельке злоумышленников на данный момент пусто, хотя с февраля по май туда пришло около $183.

 

Интересно, что в отличие от разрушительного NotPetya, новый вариант всё же предполагает расшифровку: после оплаты жертва получает ключ, и буткит запускает обратный процесс, восстанавливая оригинальные загрузчики Windows.

Некоторые версии HybridPetya используют уязвимость CVE-2024-7344 в UEFI-приложении Howyar Reloader. С её помощью можно обойти Secure Boot — защитный механизм, который должен предотвращать запуск неподписанных загрузчиков. Microsoft уже отозвала уязвимый бинарный файл в январском обновлении.

ESET подчёркивает: пока признаков активного распространения HybridPetya нет, возможно, это только семпл. Но сам факт появления таких образцов показывает, что атаки на UEFI и обход Secure Boot становятся всё более реальными и привлекательными — и для исследователей, и для киберпреступников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru