הכירו את האנטומיה של הבוטנט MyKings – ומדוע היא חשובה לאבטחה

פירוק לגורמים של צבא מחשבים זומבים  – הידוע גם כבוטנט, יכול לספר לנו הרבה על חולשות האבטחה שקיימות בטווח הרחב של מערכות IT ותשתיות דיגיטליות. זאת, כי מתוך הניתוח צפות ועולות המכונות שאינן מעודכנות ושהבוטנט בולע לקרבו, הפרוטוקולים שהוא משתמש בהם והנוזקה שהוא מפיץ.

מחקר חדש שביצעה סופוס לגבי הבוטנט MyKings – עדר מחשבים ידוע לשמצה, שהניב לעבריינים כשלושה מיליון דולר, מראה כיצד שרתים מבוססי חלונות פגיעים למגוון מתקפות מצד הבוטנט.

הבוטנט MyKings, הידוע גם כ-Smominru, הוא מעין שילוב של כמה מגמות בתחום אבטחת המידע: הוא משמש לכריית מטבע קריפטוגרפי, הוא מנצל את העובדה שמשתמשים אינם מעדכנים את המערכות שלהם, והוא מפעיל כלי לניצול פרצות שהופץ על ידי Shadow Brokers.

על פי המחקר של סופוס, הכותבים של MyKings החלו להתנסות גם בסטגנוגרפיה – טכניקה שצוברת פופולריות, ובמסגרתה האקרים מחביאים את הנוזקות שלהם בתמונה תמימה למראה (Benign). במקרה של MyKings נעשה שימוש בתמונה של הזמרת טיילור סוויפט, והם השתמשו בקוד כדי לעדכן את הבוטנט.

ההאקרים אשר נמצאים מאחורי MyKings יודעים ששמירה על הגישה לרשת דורשת עבודה מדויקת, אשר לרוב אינה מיוחסת לבוטנטים. לכן הם הוסיפו לבוטנט רכיב הידוע כ- Bootkit, המפעיל נוזקה בכל פעם שמחשב עובר אתחול.

"לבוטנט MyKings יש יכולת שרידות של מקק", כתבו החוקרים גאבור סזאפנוס ואנדרו ברנדט בפוסט בבלוג של סופוס, "אפילו כאשר מסירים את רוב הרכיבים של הבוטנט מהמחשב, הרכיבים הנותרים מסוגלים להחזיר אותו למצבו התקין – פשוט באמצעות עדכון עצמי".

מאז שהחוקרים החלו את המעקב אחריו ב-2017, הבוטנט MyKings פגע ביותר מ-43,000 כתובות IP המחוברות לרשת. אם האינטרנט ירצה אי פעם להיפטר מהטפיל, יש להבין כיצד ומדוע הבוטנט הוא הוא כל כך יעיל.

"במהלך השנתיים האחרונות, הבוטנט היה מקור להתקפות המסווגות ברמת 'הטרדה', שקטפו בקלות את הפירות הקרובים ביותר לקרקע של האינטרנט – המכונות שלא עברו עדכון", הסבירו חוקרי סופוס. "כדאי לציין את כמות העבודה שהושקעה בבניית הבוטנט הגדול הזה, רק כדי להריץ כריית מטבעות קריפטוגרפיים. הגישה הזאת של עברייני הרשת פועלת –  והם מרוויחים כסף, אבל כריית מטבעות היא בסופו של דבר תוצר רפה ותמוה מעט בהשוואה למאמץ המשמעותי מצדם".