Οι ερευνητές στον τομέα της κυβερνοασφάλειας έχουν εντοπίσει ένα δίκτυο 3.000 λογαριασμών στο GitHub που χειρίζεται πλατφόρμες και διαδίδει ransomware και phishing links.
Ένα μυστικό δίκτυο περίπου 3.000 λογαριασμών «φαντασμάτων» στο GitHub προωθεί κακόβουλο λογισμικό και συνδέσμους phishing, σύμφωνα με νέα έρευνα που είδε το WIRED.
Από τουλάχιστον τον Ιούνιο της περασμένης χρονιάς, σύμφωνα με ερευνητές της εταιρείας κυβερνοασφάλειας Check Point, ένας κυβερνοεγκληματίας που ονόμασαν «Stargazer Goblin» έχει ενισχύσει τις σελίδες χρησιμοποιώντας τα δικά του εργαλεία της κοινότητας του GitHub.
«Έξυπνη» χρήση των εργαλείων της πλατφόρμας
Ο Antonis Terefos, αναλυτής κακόβουλου λογισμικού στην Check Point που ανακάλυψε τη ζημιογόνο συμπεριφορά, αναφέρει ότι ο φορέας πίσω από το δίκτυο χρησιμοποιεί τους ψεύτικους λογαριασμούς του για να «αρέσει», «αντιγράψει» και «παρακολουθήσει» τις κακόβουλες σελίδες.
Αυτές οι ενέργειες—οι οποίες είναι loosely παρόμοιες με το liking, sharing και subscribing αντίστοιχα—βοηθούν τις σελίδες να φαίνονται δημοφιλείς και γνήσιες. Όσο περισσότερα αστέρια, τόσο πιο ρεαλιστική φαίνεται μια σελίδα. «Τα κακόβουλα αποθετήρια φαίνονταν πραγματικά νόμιμα», λέει ο Terefos.
Συντονισμένη δράση και εμπορική εκμετάλλευση
«Ο τρόπος που το έχει αναπτύξει είναι πραγματικά έξυπνος, εκμεταλλευόμενος τη λειτουργία του GitHub», λέει ο Terefos για το άτομο πίσω από το ψευδώνυμο.
Ενώ οι κυβερνοεγκληματίες έχουν παραβιάσει το GitHub για χρόνια, ανεβάζοντας κακόβουλο κώδικα και προσαρμόζοντας νόμιμα αποθετήρια, ο Terefos αναφέρει ότι δεν έχει ξαναδεί δίκτυο ψεύτικων λογαριασμών να λειτουργεί με αυτόν τον τρόπο στην πλατφόρμα.
Η αγορά και πώληση των αποθετηρίων και η αξιολόγηση συντονίζονται μέσω ενός καναλιού στο Telegram που σχετίζεται με την κυβερνοεγκληματικότητα και αγορές εγκλήματος.
«Υπηρεσία διανομής» για άλλους χάκερ
Το δίκτυο «Stargazer Ghost», το οποίο η Check Point ονόμασε μετά από έναν από τους πρώτους λογαριασμούς που εντόπισαν, έχει διαδώσει κακόβουλα αποθετήρια GitHub που προσφέρουν λήψεις εργαλείων κοινωνικών μέσων, παιχνιδιών και κρυπτονομισμάτων. Για παράδειγμα, σελίδες μπορεί να ισχυρίζονται ότι παρέχουν κώδικα για να τρέξει ένα VPN ή να αδειοδοτήσει μια έκδοση του Photoshop της Adobe.
Αυτά απευθύνονται κυρίως σε χρήστες Windows και σκοπεύουν να εκμεταλλευτούν άτομα που αναζητούν δωρεάν λογισμικό στο διαδίκτυο.
Ο χειριστής πίσω από το δίκτυο χρεώνει άλλους χάκερς για να χρησιμοποιήσουν τις υπηρεσίες του, τις οποίες η Check Point αποκαλεί «υπηρεσία διανομής». Το επιβλαβές δίκτυο έχει παρατηρηθεί να μοιράζεται διάφορους τύπους ransomware και κακόβουλου λογισμικού, συμπεριλαμβανομένων των Atlantida Stealer, Rhadamanthys και Lumma Stealer.
Ο Terefos αναφέρει ότι ανακάλυψε το δίκτυο ενώ ερευνούσε περιστατικά του Atlantida Stealer. Ο ερευνητής λέει ότι το δίκτυο θα μπορούσε να είναι μεγαλύτερο από όσο αναμένει, καθώς έχει δει επίσης νόμιμους λογαριασμούς GitHub να καταλαμβάνονται χρησιμοποιώντας κλεμμένα στοιχεία σύνδεσης.
Αντίκτυποι και αντίμετρα
«Απενεργοποιήσαμε λογαριασμούς χρηστών σύμφωνα με τις Πολιτικές Αποδεκτής Χρήσης του GitHub, οι οποίες απαγορεύουν την ανάρτηση περιεχομένου που υποστηρίζει άμεσα επιθέσεις ή καμπάνιες κακόβουλου λογισμικού που προκαλούν τεχνική βλάβη», λέει η Alexis Wales, αντιπρόεδρος ασφαλείας στο GitHub. «Έχουμε ομάδες αφιερωμένες στην ανίχνευση, ανάλυση και αφαίρεση περιεχομένου και λογαριασμών που παραβιάζουν αυτές τις πολιτικές.»
Το GitHub έχει περισσότερους από 100 εκατομμύρια χρήστες που έχουν συμβάλει με πάνω από 420 εκατομμύρια αποθετήρια στην πλατφόρμα.
Δεδομένου του μεγέθους της πλατφόρμας, δεν είναι περίεργο που οι κυβερνοεγκληματίες και οι χάκερς προσπαθούν να την εκμεταλλευτούν.
