Botnet, ki za komunikacijo uporablja bitcoinovo verigo blokov

Ena izmed ključnih lastnost verige blokov (blockchain), ki jo uporabljajo kriptovalute, je nespremenljivost preteklih blokov - kar zapišemo vanje, tam ostane za zmeraj, obstaja pa v več decentraliziranih kopijah pri uporabnikih po celem svetu, zato jih ni možno poloviti. Zamisel, da bi tja kaj zapisali, ni nova. So pa to prvikrat izkoristili hekerji, ki obvladujejo botnet. Raziskovalci iz podjetja Akamai poročajo o botnetu, ki IP-naslove rezervnih nadzornih strežnikov pridobi iz transakcij z bitcoinom.

Botneti, kamor imenujemo velika omrežja okuženih računalnikov, ki jih obvladujejo hekerji, so uporabni le, dokler so v stiku z nadzornimi strežniki. Pri razbijanju botnetov je zato eden izmed ključnih korakov onesposobitev oziroma blokada nadzornih strežnikov (sinkholing), s čimer okuženih računalniki izgubijo lutkarja. Napadalci sicer lahko postavijo nove strežnike, a če okuženi računalniki ne poznajo njihovih naslovov (dokler jih seveda na dezinficiramo), so neuporabni zombiji.

Botnet, ki ga Akamai spremlja že dve leti, pa uporablja bitcoinovo verigo blokov. Konkretno gre za neko denarnico (1Hf2CKoVDyPj7dNn3vgTeFMgDqVvbVNZQq), ki jo očitno nadzorujejo upravljavci botneta. Raziskovalci so ugotovili, da zadnji dve transakciji v transakcijo predstavljata IP-naslov. Algoritem za pretvorbo nakazanega zneska v IP-naslov je trivialen (glej sliko). Na ta način lahko hekerji, četudi jim glavne strežnike, katerih IP-naslov je zapisan neposredno v zlonamerno kodo, onesposobijo, zombijem posredujejo naslove novih strežnikov. Seveda pa ima konkretno ta implementacijo tudi slabost, saj lahko sedaj, ko za to taktiko vemo, preprosto nakažemo kak satoshi v to denarnico, pa bomo računalnike v botnetu zmedli.

Zamisel ni nova. Že v preteklosti so raziskovalci demonstrirali, da je možno na verigi Ethereuma zgraditi botnet. V praksi pa smo videli že najrazličnejše bizarne metode, denimo skrivanje naslovov v komentarje na Instagramovem profilu Britney Spears.