Серверы больше не нужны. Злоумышленники нашли способ создать вечный вирус за сущие копейки
NewsMakerЛюбая попытка помешать работе лишь подтверждает прочность системы.
Компания Qrator Labs сообщила о появлении новой бот-сети Aeternum C2, которая переносит управление заражёнными устройствами в публичный блокчейн и тем самым лишает защитников привычной точки давления. Если раньше правоохранительные органы и ИБ-компании выводили из строя сети вроде Emotet, TrickBot и QakBot, изымая серверы управления или блокируя домены, то в новом случае централизованная инфраструктура просто отсутствует.
Команда Qrator Labs обнаружила загрузчик на C++, доступный в версиях x32 и x64. Aeternum записывает команды для заражённых машин в смарт-контракты сети Polygon. Устройства получают инструкции, обращаясь к публичным RPC-узлам. Оператор управляет процессом через веб-панель: выбирает контракт, тип команды, указывает ссылку на полезную нагрузку и публикует транзакцию. После подтверждения в сети запись становится доступной всем ботам. По данным авторов отчёта, обновление доходит до активных машин за несколько минут.
Каждый смарт-контракт может обслуживать отдельную функцию — от кражи данных и удалённого доступа до майнинга. Панель позволяет управлять несколькими контрактами одновременно. Для отслеживания заражённых устройств оператор отправляет команду ping, после чего бот делает HTTP-запрос с идентификатором оборудования и другими техническими параметрами. Такой механизм помогает фильтровать конкретные машины и оценивать масштаб сети.
Главное отличие Aeternum от классических схем управления заключается в полном отказе от серверов и доменов. Данные хранятся в распределённой сети узлов Polygon и доступны через десятки публичных точек доступа. Изъять «центр» управления невозможно, поскольку центр отсутствует как сущность. В Qrator Labs напомнили о случае с Glupteba, которую Google частично нейтрализовала в 2021 году, отключив серверы и домены. Тогда злоумышленники использовали блокчейн Bitcoin как резервный канал. Aeternum применяет блокчейн сразу как основной и единственный механизм.
Компания Qrator Labs сообщила о появлении новой бот-сети Aeternum C2, которая переносит управление заражёнными устройствами в публичный блокчейн и тем самым лишает защитников привычной точки давления. Если раньше правоохранительные органы и ИБ-компании выводили из строя сети вроде Emotet, TrickBot и QakBot, изымая серверы управления или блокируя домены, то в новом случае централизованная инфраструктура просто отсутствует.
Команда Qrator Labs обнаружила загрузчик на C++, доступный в версиях x32 и x64. Aeternum записывает команды для заражённых машин в смарт-контракты сети Polygon. Устройства получают инструкции, обращаясь к публичным RPC-узлам. Оператор управляет процессом через веб-панель: выбирает контракт, тип команды, указывает ссылку на полезную нагрузку и публикует транзакцию. После подтверждения в сети запись становится доступной всем ботам. По данным авторов отчёта, обновление доходит до активных машин за несколько минут.
Каждый смарт-контракт может обслуживать отдельную функцию — от кражи данных и удалённого доступа до майнинга. Панель позволяет управлять несколькими контрактами одновременно. Для отслеживания заражённых устройств оператор отправляет команду ping, после чего бот делает HTTP-запрос с идентификатором оборудования и другими техническими параметрами. Такой механизм помогает фильтровать конкретные машины и оценивать масштаб сети.
Главное отличие Aeternum от классических схем управления заключается в полном отказе от серверов и доменов. Данные хранятся в распределённой сети узлов Polygon и доступны через десятки публичных точек доступа. Изъять «центр» управления невозможно, поскольку центр отсутствует как сущность. В Qrator Labs напомнили о случае с Glupteba, которую Google частично нейтрализовала в 2021 году, отключив серверы и домены. Тогда злоумышленники использовали блокчейн Bitcoin как резервный канал. Aeternum применяет блокчейн сразу как основной и единственный механизм.