Če je na GitHubu, še ne pomeni, da je zakonit. Trend Micro opozarja, da finančno motivirana vohunska skupina zlorablja skladišče GitHub za komunikacije C&C (vodenje in upravljanje).
Raziskovalci so ugotovili, da se zlonamerna programska oprema, ki jo uporablja Winnti, skupina, znana predvsem po ciljanju na spletno igralniško industrijo, povezuje z računom GitHub, da dobi natančno lokacijo svojih strežnikov C&C. Zlonamerna programska oprema je poiskala stran HTML, shranjeno v projektu GitHub, da bi dobila šifrirani niz, ki vsebuje naslov IP in številko vrat za strežnik C&C, je zapisal raziskovalec groženj Trend Micro Cedric Pernet v blogu TrendLabs Security Intelligence. Nato bi se povezal s tem naslovom IP in vrati, da bi prejel nadaljnja navodila. Dokler bo skupina posodabljala stran HTML z najnovejšimi informacijami o lokaciji, bo zlonamerna programska oprema lahko našla strežnik C&C in se povezala z njim.
Račun GitHub je vseboval 14 različnih datotek HTML, ki so bile vse ustvarjene v različnih časih, s sklici na skoraj dva ducata kombinacij naslovov IP in številk vrat. Obstajalo je 12 naslovov IP, vendar so se napadalci vrteli med tremi različnimi številkami vrat: 53 (DNS), 80 (HTTP) in 443 (HTTPS). Trend Micro je pogledal prvi in zadnji časovni žig izdaje datotek HTML, da bi ugotovil, ali so bile informacije o strežniku C&C v projektu objavljene od 17. avgusta 2016 do 12. marca 2017.
Račun GitHub je bil ustvarjen maja 2016, njegovo edino skladišče, projekt mobilnega telefona, pa je bilo ustvarjeno junija 2016. Zdi se, da projekt izhaja iz druge generične strani GitHub. Trend Micro meni, da so račun ustvarili napadalci sami in ga niso ugrabili prvotni lastnik.
"Pred to objavo smo svoje ugotovitve zasebno razkrili GitHubu in proaktivno sodelujemo z njimi glede te grožnje," je dejal Pernet. se za več informacij o projektu obrnil na GitHub in bo posodobil vse dodatne podrobnosti.
GitHub zlorabe ni neznanka
Organizacije morda ne bodo takoj sumljive, če vidijo veliko omrežnega prometa za račun GitHub, kar je dobro za zlonamerno programsko opremo. Prav tako naredi napadalno akcijo bolj odporno, saj lahko zlonamerna programska oprema vedno pridobi najnovejše informacije o strežniku, tudi če izvirni strežnik izklopi zaradi ukrepov kazenskega pregona. Podatki o strežnikih v zlonamerni programski opremi niso trdo kodirani, zato bodo raziskovalci težje našli strežnike C&C, če naletijo le na zlonamerno programsko opremo.
"Zloraba priljubljenih platform, kot je GitHub, omogoča akterjem groženj, kot je Winnti, ohraniti obstojnost omrežja med ogroženimi računalniki in njihovimi strežniki, hkrati pa ostati pod radarjem," je dejal Pernet.
GitHub je bil obveščen o problematičnem odlagališču, vendar je to težavno področje, saj mora biti spletno mesto previdno, kako se odziva na prijave zlorab. Očitno ne želi, da kriminalci uporabljajo njegovo spletno mesto za prenos zlonamerne programske opreme ali za druga kazniva dejanja. Pogoji storitve GitHub so zelo jasni glede tega: "Ne smete prenašati nobenih črvov ali virusov ali kakršne koli uničujoče kode."
Vendar pa tudi ne želi zapreti zakonitih varnostnih raziskav ali izobraževalnega razvoja. Izvorna koda je orodje in je samo po sebi ni mogoče šteti za dobro ali slabo. Zaradi namena osebe, ki izvaja kodo, je ta koristna kot varnostna raziskava, uporabljena v obrambi ali zlonamerna kot del napada.
Izvorno kodo za botnet Mirai, ogromen botnet IoT, ki stoji za serijo pohabljanja porazdeljenih napadov zavrnitve storitve lansko jesen, lahko najdete na GitHub. Pravzaprav več projektov GitHub gosti izvorno kodo Mirai, vsak pa je označen kot "Raziskave / IoC [kazalniki kompromisa] razvojni cilji."
Zdi se, da je to opozorilo dovolj, da se GitHub ne dotakne projekta, čeprav lahko zdaj kdo uporablja kodo in ustvari nov botnet. Podjetje ne sprejema odločitev glede možnosti zlorabe izvorne kode, zlasti v primerih, ko je treba izvorno kodo najprej prenesti, zbrati in ponovno konfigurirati, preden jo je mogoče zlonamerno uporabiti. Tudi takrat ne skenira in ne nadzira skladišč, ki iščejo projekte, ki se aktivno uporabljajo na škodljiv način. GitHub preiskuje in deluje na podlagi poročil uporabnikov.
Enako utemeljevanje velja za projekte izsiljevalske programske opreme EDA2 in Hidden Tear. Prvotno so bili ustvarjeni kot dokazila o koncepcijah in objavljeni na GitHubu, od takrat pa se različice kode uporabljajo pri napadih z odkupno programsko opremo na podjetja.
Smernice skupnosti imajo nekoliko večji vpogled v to, kako GitHub ocenjuje potencialne problematične projekte: "Biti del skupnosti pomeni, da ne izkoriščamo prednosti drugih članov skupnosti. Nikomur ne dovolimo, da uporablja našo platformo za izkoriščanje, na primer gostovanje zlonamernih programov. izvršljive datoteke ali kot napadalno infrastrukturo, na primer z organiziranjem napadov na zavrnitev storitve ali upravljanjem ukaznih in nadzornih strežnikov. Upoštevajte pa, da ne prepovedujemo objavljanja izvorne kode, ki bi se lahko uporabljala za razvoj zlonamerne programske opreme ali izkoriščanja, kot je objava in distribucija takšne izvorne kode ima izobraževalno vrednost in zagotavlja neto korist za varnostno skupnost. "
Kiber kriminalci se že dolgo zanašajo na znane spletne storitve za gostovanje zlonamerne programske opreme, da bi prevarali žrtve, zagnali strežnike za upravljanje in nadzor ali skrivali svoje zlonamerne dejavnosti pred varnostno obrambo. Pošiljatelji neželene elektronske pošte so uporabili skrajševalnike URL-jev za preusmerjanje žrtev na izmišljena in zlonamerna spletna mesta, napadalci pa so uporabili Google Dokumente ali Dropbox za ustvarjanje lažnih strani. Zaradi zlorabe zakonitih storitev je žrtvam težko prepoznati napade, operaterji spletnih mest pa tudi ugotoviti, kako kriminalcem preprečiti uporabo njihovih platform.
