Вредоносный червь CanisterWorm стирает данные на компьютерах в Иране

1 час назад / Технологии → Новости / Технологии

Самовоспроизводящееся вредоносное ПО, называемое червями, — обычное явление в мире кибербезопасности. Однако не каждый день хакерская группа отвлекается от своей обычной цели — финансовой выгоды — чтобы просто стереть данные с машин в конкретной стране, в данном случае в Иране, используя при этом новый механизм управления.

Коллектив TeamPCP, который, судя по всему, сформировался недавно, попал в новости в декабре прошлого года за атаки на популярное ПО для облачной инфраструктуры, такое как Docker, Kubernetes, Redis и Next.js. Основная цель группы, по-видимому, заключается в создании прокси-сети, которую она (или, предположительно, её клиенты) может использовать для запуска атак с ransomware и вымогательством, а также других вредоносных операций.

Изображение: Microsoft

Хотя большая часть деятельности команды до сих пор была связана с получением денег, последняя версия программы под названием CanisterWorm полностью стирает содержимое любой иранской машины, в которую она попадает, определяя часовой пояс системы. Хосты Kubernetes удаляют каждую машину в кластере, а стандартные виртуальные машины любого типа получают классическую команду «rm -rf / --no-preserve-root» — без лишних вопросов. Если машина не иранская, заражение и распространение продолжаются как обычно.

Кажется, нет очевидного мотива для стирания данных, особенно учитывая, что мёртвый хост бесполезен для паразита. В заявлении для KrebsOnSecurity исследователь компании Aikido Чарли Эриксен сказал, что группа, по-видимому, просто хвасталась, и выдвинул гипотезу, что она может иметь доступ к гораздо большему количеству систем, чем те, которые участвовали в атаке.

Последняя атака началась на прошлых выходных, стартовав со взлома программного обеспечения для сканирования уязвимостей с открытым исходным кодом Trivy, которое многие разработчики используют как часть своей инфраструктуры публикации ПО. Пакеты Node.js (npm), использовавшие Trivy, стали источником утечки учетных данных для публикации, откуда вредоносное ПО распространилось на другие пакеты npm и настроило множество фоновых процессов, маскирующихся под стандартные системные службы.

Что делает эту конкретную атаку новой с технической стороны, так это то, что её командный центр — «панель управления» операторов вредоносной сети — был «мёртвой точкой сброса», опубликованной в ICP (Internet Computer Project) «каннистере» (canister), отсюда и название CanisterWorm. Каннистер — это тип смарт-контракта, небольшой набор кода и данных, размещённый в блокчейне, который особенно устойчив к отключению из-за своего распределённого характера.

В отличие от криптовалютных блокчейнов, таких как Bitcoin или Ethereum, участники ICP должны пройти строгий процесс идентификации и проверки и предоставить существенное аппаратное обеспечение для его работы. По оценкам, количество участвующих машин составляет около 1400 (половина активна, половина в режиме ожидания) у более чем 100 провайдеров узлов в 34 странах.

Из-за открытой природы протокола ICP каннистеры по замыслу управляются только их первоначальным создателем, и хотя ICP принимает уведомления о вредоносном ПО, они затем проходят процесс голосования с чрезвычайно высоким порогом — чтобы гарантировать, что сеть не уязвима, например, к запросу правительства об удалении. В данном случае TeamPCP, вероятно, «обезвредила» каннистер из-за публичного раскрытия атаки, но его можно снова активировать в любое время, а фактическим решением является блокировка адреса на сетевом уровне.

Источник: Tomshardware.com