Tai, kad jis yra „GitHub“, dar nereiškia, kad jis yra teisėtas. Finansiškai motyvuota šnipinėjimo grupė piktnaudžiauja „GitHub“ C&C (komandų ir valdymo) ryšių saugykla, perspėjo „Trend Micro“.
Tyrėjai nustatė, kad kenkėjiška programa, kurią naudojo „Winnti“, grupė, daugiausia žinoma dėl internetinių žaidimų industrijos, prisijungė prie „GitHub“ paskyros, kad gautų tikslią savo C&C serverių vietą. Kenkėjiška programa ieškojo „GitHub“ projekte saugomo HTML puslapio, kad gautų užšifruotą eilutę, kurioje būtų C ir C serverio IP adresas ir prievado numeris, rašė „Trend Micro“ grėsmių tyrinėtojas Cedricas Pernet „TrendLabs Security Intelligence“ tinklaraštyje. Tada jis prisijungs prie to IP adreso ir prievado, kad gautų tolesnes instrukcijas. Kol grupė nuolat atnaujins HTML puslapį su naujausia vietos informacija, kenkėjiška programa galės rasti ir prisijungti prie C&C serverio.
„GitHub“ paskyroje buvo 14 skirtingų HTML failų, kurie visi buvo sukurti skirtingais laikais, nurodant beveik dvi dešimtis IP adresų ir prievado numerių derinių. Buvo 12 IP adresų, tačiau užpuolikai keitėsi tarp trijų skirtingų prievado numerių: 53 (DNS), 80 (HTTP) ir 443 (HTTPS). „Trend Micro“ pažvelgė į pirmuosius ir paskutinius HTML failų įsipareigojimų laiko žymes, kad nustatytų, ar C&C serverio informacija buvo paskelbta projekte nuo 2016 m. Rugpjūčio 17 d. Iki 2017 m. Kovo 12 d.
„GitHub“ paskyra buvo sukurta 2016 m. Gegužės mėn., O jos vienintelė saugykla - mobiliųjų telefonų projektas - buvo sukurta 2016 m. Birželio mėn. Atrodo, kad projektas yra gautas iš kito bendro „GitHub“ puslapio. „Trend Micro“ mano, kad paskyrą sukūrė patys užpuolikai, o ne pagrobė jos pradinis savininkas.
„Mes iki šio leidinio„ GitHub “privačiai atskleidėme savo išvadas ir aktyviai dirbame su jais dėl šios grėsmės“, - sakė Pernet. susisiekė su „GitHub“, kad gautų daugiau informacijos apie projektą ir atnaujins su papildoma informacija.
„GitHub“ nėra svetimas piktnaudžiavimas
Organizacijos gali būti ne iš karto įtartinos, jei mato daug „GitHub“ paskyros tinklo srauto, o tai naudinga kenkėjiškoms programoms. Tai taip pat daro atakos kampaniją atsparesnę, nes kenkėjiška programa visada gali gauti naujausią serverio informaciją, net jei pradinis serveris bus uždarytas vykdant teisėsaugos veiksmus. Serverio informacija kenkėjiškoje programoje nėra užkoduota, todėl tyrėjams bus sunkiau rasti C&C serverius, jei jie susidurs tik su kenkėjiška programa.
„Piktnaudžiavimas tokiomis populiariomis platformomis kaip„ GitHub “leidžia grėsmės veikėjams, tokiems kaip„ Winnti “, išlaikyti tinklo atkaklumą tarp pažeistų kompiuterių ir jų serverių, likdami po radaru“, - sakė Pernet.
„GitHub“ buvo pranešta apie probleminę saugyklą, tačiau tai kebli sritis, nes svetainė turi būti atsargi, reaguodama į pranešimus apie piktnaudžiavimą. Akivaizdu, kad ji nenori, kad nusikaltėliai naudotų savo svetainę kenkėjiškoms programoms perduoti ar kitiems nusikaltimams daryti. „GitHub“ paslaugų teikimo sąlygos yra labai aiškios: „Jūs neturite perduoti jokių kirminų, virusų ar jokio destruktyvaus pobūdžio kodo“.
Tačiau ji taip pat nenori uždaryti teisėtų saugumo tyrimų ar švietimo plėtros. Šaltinio kodas yra įrankis, jo negalima atskirai laikyti geru ar blogu. Tai yra asmens, valdančio kodą, ketinimas padaryti jį naudingu kaip saugumo tyrimas, naudojamas gynyboje ar kenkėjiškas kaip užpuolimo dalis.
„Mirai“ roboto tinklo, didžiulio IoT roboto tinklo, už kurio praeitą rudenį buvo daugybė suluošintų išplatintų paslaugų atsisakymo atakų, šaltinio kodą galite rasti „GitHub“. Tiesą sakant, keliuose „GitHub“ projektuose yra „Mirai“ šaltinio kodas, ir kiekvienas jų pažymėtas kaip skirtas „Tyrimų / IoC [kompromiso rodiklių] plėtros tikslams“.
Atrodo, kad šio įspėjimo pakanka, kad „GitHub“ neliestų projekto, nors dabar kiekvienas gali naudoti kodą ir sukurti naują botnetą. Bendrovė nesprendžia galimybės, kad šaltinio kodas gali būti netinkamai naudojamas, ypač tais atvejais, kai pirmiausia reikia atsisiųsti, sukompiliuoti ir iš naujo sukonfigūruoti šaltinio kodą, kad jį būtų galima naudoti piktybiškai. Net tada jis netikrina ir nestebi saugyklų, ieškodamas aktyviai kenksmingai naudojamų projektų. „GitHub“ tiria ir veikia remdamasi vartotojų ataskaitomis.
Tas pats argumentas galioja ir išpirkos programoms „EDA2“ ir „Paslėpta ašara“. Iš pradžių jie buvo sukurti kaip švietimo koncepcijos įrodymai ir paskelbti „GitHub“, tačiau nuo to laiko kodo variantai buvo naudojami išpirkos išpuolių prieš įmones metu.
Bendruomenės gairėse yra šiek tiek daugiau informacijos apie tai, kaip „GitHub“ vertina galimus probleminius projektus: "Buvimas bendruomenės dalimi apima ir nepasinaudojimą kitais bendruomenės nariais. Mes neleidžiame niekam naudoti mūsų platformos pristatymo išnaudojimui, pavyzdžiui, kenkėjiškų svetainių talpinimui. vykdomieji failai arba kaip atakos infrastruktūra, pavyzdžiui, organizuodami paslaugų atsisakymo atakas arba valdydami komandų ir valdymo serverius. Tačiau atkreipkite dėmesį, kad mes nedraudžiame skelbti šaltinio kodo, kuris galėtų būti naudojamas kenkėjiškoms programoms ar jų išnaudojimui kurti, skelbti tokio šaltinio kodo platinimas turi edukacinę vertę ir teikia grynąją naudą saugumo bendruomenei ".
Kibernetiniai nusikaltėliai jau seniai rėmėsi gerai žinomomis internetinėmis paslaugomis, norėdami priglobti kenkėjiškas programas, kad apgautų aukas, paleistų vadovavimo ir valdymo serverius ar paslėptų savo kenkėjišką veiklą nuo saugumo priemonių. Šlamštas naudojo URL sutrumpintojus, kad nukreiptų aukas į apgaulingas ir kenkėjiškas svetaines, o užpuolikai naudojo „Google“ dokumentus arba „Dropbox“ sukurdami sukčiavimo puslapius. Piktnaudžiavimas teisėtomis paslaugomis suteikia aukoms iššūkį atpažinti išpuolius, bet ir svetainių operatoriams išsiaiškinti, kaip užkirsti kelią nusikaltėliams naudotis jų platformomis.
