| 0 |
|
На проходящей в Лас Вегасе (США) конференции Black Hat был представлен пример построения робота на основе бесплатных «облачных» служб для «раскопки» Litecoin. Специалисты в области ИБ давно указывают, что «облака» могут стать раем для хакеров и использоваться в злонамеренных целях. Безусловно, для этого потребуются инвестиции, ведь возможности бесплатных вычислительных сервисов минимальны — одно ядро и пару гигабайт хранилища.
Как выяснилось, этого достаточно чтобы причинить немало вреда. Двум профессиональным тестировщикам систем на возможность проникновения удалось построить ботнет на тысячу узлов, объединяющий ресурсы разнообразных бесплатных служб. Затем ботнет был протестирован в качестве инструмента для раскопки Litecoin. Очевидно, его можно применять и для других целей, если владельцы не сочтут нужным минимизировать возможный вред для других пользователей сервисов либо провайдеров.
При пиковой нагрузке бот производил $0,25 в Litecoin в день на один узел, т.е. $250. Экспериментальный бот может сканировать сети на уязвимости, выполнять мошеннические клики, производить DDoS-атаки. И что самое главное — его работу чрезвычайно сложно отследить, поскольку специальных средств мониторинга пока просто нет. Для получения денег из воздуха требуется только создание большого числа адресов электронной почты. Чтобы создать собственную базу, исследователи взяли существующие локальные имена пользователей реальных адресов на Pastebin, собрали доменные имена с сайта freedns.afraid.org, и настроили субдомены и MX записи, получив таким образом практически бесконечную постоянно обновляемую базу адресов, которые выглядят легитимными. Для автоматического открытия ссылок в сообщениях верификации был создан специальный обработчик. Для хранения адресов использовались MongoDB службы, а для управления адресами был настроен специальный метод с применением SSH туннелирования. Исследователи использовали подложные наборы «друзей», благодаря чему им удалось получить в Dropbox 16 ГБ хранилища, а затем, переопределяя и передавая блоки, создать у одного из «облачных» провайдеров 1 ТБ хранилище — такой объем не предоставляется даже платным подписчикам.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
