Вредоносное ПО CanisterWorm без видимой причины стирает данные с иранских машин, используя новый механизм управления через ICP-канистру. — tomshardware.com
Самовоспроизводящееся вредоносное ПО, заражающее машины в пределах досягаемости и известное как черви, — обычное явление в мире кибербезопасности. Однако не каждый день хакерская группировка делает небольшой крюк от своей обычной цели получения денежной выгоды, чтобы просто взять и стереть данные с машин, находящихся в определенной стране — в данном случае, в Иране — используя при этом новый механизм управления. Коллектив TeamPCP, который, по всей видимости, сформировался недавно, попал в новости в декабре прошлого года за атаки на широко используемое программное обеспечение для облачного хостинга, такое как Docker, Kubernetes, Redis и Next.js. Основная цель группы, по-видимому, заключается в создании прокси-сети, которую она (или, предположительно, ее клиенты) может использовать для запуска атак с использованием программ-вымогателей и шантажа, а также других вредоносных операций. Хотя большая часть деятельности команды до сих пор была связана с получением денег, последняя версия программного обеспечения под названием CanisterWorm полностью сотрет содержимое любой иранской машины, в которую она попадет, путем определения часового пояса системы. Любые хосты Kubernetes удалят каждую машину в кластере, в то время как стандартные виртуальные машины любого типа получат старый добрый «rm -rf / –no-preserve-root» — без лишних вопросов. Если машина не иранская, заражение и распространение продолжаются как обычно. Похоже, что немедленной мотивации для стирания данных нет, особенно учитывая, что мертвый хост мало полезен для паразита. В заявлении для KrebsOnSecurity исследователь Aikido Чарли Эриксен сообщил, что группа, по-видимому, просто хвасталась, и предположил, что у нее могут быть учетные данные для гораздо большего числа систем, чем те, которые участвовали в атаке. Последняя атака началась в минувшие выходные, спровоцированная взломом программного сканера уязвимостей с открытым исходным кодом Trivy, который многие разработчики используют как часть своей инфраструктуры публикации программного обеспечения. Были скомпрометированы учетные данные для публикации пакетов Node.js (npm), использующих Trivy, а оттуда вредоносное ПО распространилось на другие пакеты npm и создало множество фоновых процессов, маскирующихся под стандартные системные службы. Что делает эту конкретную атаку новой с технической точки зрения, так это то, что инфраструктура командно-контрольного центра — «панель управления» операторов сети вредоносного ПО — представляла собой тайник, опубликованный в канистре ICP (Internet Compute Project), отсюда и название CanisterWorm. Канистра — это тип смарт-контракта, небольшой набор кода и данных, размещенный в блокчейне, который особенно устойчив к отключению благодаря своей распределенной природе. В отличие от блокчейнов криптовалют, таких как Биткойн или Эфириум, участники ICP должны пройти строгую процедуру идентификации и проверки и предоставить значительное оборудование для его запуска. По оценкам, количество участвующих машин составляет около 1400 (половина активна, половина в режиме ожидания) среди более чем 100 поставщиков узлов и 34 стран. Из-за открытого характера протокола ICP канистры по замыслу могут управляться только их первоначальным создателем, и хотя ICP принимает уведомления о вредоносном ПО, они затем подлежат процессу голосования с чрезвычайно высоким порогом — чтобы гарантировать, что сеть не уязвима, например, к запросу правительства на удаление. В данном случае TeamPCP, по всей видимости, «обезвредила» канистру из-за публичного раскрытия информации об атаке, но ее можно повторно активировать в любое время, а фактической мерой смягчения последствий является блокировка адреса на уровне сети.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira