Dados de uma ação judicial do Distrito Sul de Nova York, envolvendo um grupo hacker, identificou o uso do blockchain do Bitcoin para controlar centenas de milhares de computadores.
Em setembro de 2021, a Chainalysis fez uma investigação a mando da Justiça de Nova York sobre uma botnet chamada de Glupteba, que nada mais é que uma rede de computadores sob o controle de criminosos, de origem russa.
As botnets são controladas geralmente por servidores de comando e controle ou “C2 servers”. Por exemplo, um comando pode ser dado para “roubar credenciais”, “minerar criptomoedas” ou “rotear tráfego”.
Usualmente, as bonets recebem comandos de endereços como “xyzx.xyz” ou domínios do tipo. Isso facilita o trabalho das autoridades, que podem pedir para os servidores de nome ou os hosts do servidor para fecharem o serviço, acabando facilmente com a botnet.
Botnet baseada no blockchain do Bitcoin?
Já a Glupteba é única, pois ela usa o blockchain do Bitcoin para evadir de bloqueios policiais. A botnet russa busca por endereços de bitcoin de carteiras específicas e recebe ordens de acordo com essa transação para buscar os servidores.
As ordens são passadas usando a função “OP_Return”. A OP_Return faz parte do script do bitcoin, ela permite a inserção de até 40 bytes de dados no blockchain.
“Se um dos servidores C2 da botnet Glupteba fica offline, os dispositivos infectados consultam o blockchain para uma mensagem OP_Return de um dos três especificados Endereços de Bitcoin enviados pela Glupteba Enterprise. O OP_Return contém o endereço do novo servidor C2 em um código criptografado que o malware Glupteba é programado para descriptografar. Portanto, ao contrário dos botnets convencionais, interrompendo a botnet Glupteba por qualquer período significativo de tempo requer a disrupção do blockchain – infraestrutura base a ser neutralizada.”
O OP_Return é criptografado e apenas o malware consegue ler a mensagem com uma chave AES-256 programada dentro dele.
Rastreando os criminosos
Alguns endereços de bitcoin foram encontrados dentro da botnet, seguindo-os a Chainalysis conectou tais endereços com um local específico.
As análises de blockchain e cruzamentos de dados com outras investigações levaram a um endereço ligado à Federation Tower em Moscou na Rússia.
“Chainalysis determinou com um alto grau de probabilidade de que o cluster 173WD [usado pela botnet] era controlado por entidades dentro e ao redor de Moscou, São Petersburgo, e Sochi, Rússia e o país de Chipre, como mostrado abaixo.
Esse é um método inovador de criar botnets, mesmo assim é possível rastrear os criminosos devido a natureza transparente e imutável do bitcoin. As evidências do grupo hacker estão disponíveis publicamente, é uma questão de tempo até a polícia encontrá-lo.