Aeternum: botnet πάνω στο Polygon

Η κλασική τακτική των ερευνητών και των διωκτικών αρχών ήταν απλή και αποτελεσματική: εντοπίζεις τις υποδομές command-and-control, αιχμαλωτίζεις ή καταστρέφεις τους servers και το botnet χάνει το κεντρικό νευρικό του σύστημα. Αυτή η προσέγγιση απέδιδε σε εκστρατείες κατά μεγάλων οικογενειών κακόβουλου λογισμικού όπως το Emotet, το TrickBot ή το QakBot. Τώρα όμως ένα νέο πλαίσιο C2 με το όνομα Aeternum προκαλεί ριζική αναθεώρηση: αντί για κεντρικούς servers, όλες οι εντολές αποθηκεύονται σε smart contracts στην αλυσίδα του Polygon. Αυτό δεν είναι απλώς τεχνικό παιχνίδι — είναι σχεδιασμός που αλλάζει το ίδιο το πεδίο μάχης μεταξύ επιτιθέμενων και αμυνόμενων.

Πώς λειτουργεί το νέο μοντέλο

Το βασικό στοιχείο του Aeternum είναι η χρήση της δημόσιας blockchain ως μόνιμου και αδιάβλητου αποθηκευτικού μέσου για εντολές. Αντί οι χειριστές να στέλνουν εντολές σε HTTP servers ή να χρησιμοποιούν λίστες domain, γράφουν συναλλαγές σε smart contracts. Οι μολυσμένες συσκευές είναι προγραμματισμένες να ρωτούν δημόσια RPC endpoints — δηλαδή κόμβους που τροφοδοτούν το δίκτυο Polygon — και να ανακτούν τις εντολές από αυτές τις συναλλαγές. Μια εντολή για παράδοση payload, ενημέρωση ρύθμισης ή εκτέλεση remote actions γίνεται πλέον μέρος ενός μόνιμου, αναλλοίωτου ιστορικού.

Το πρακτικό αποτέλεσμα είναι ότι οι εντολές δεν μπορούν να «συλληφθούν» ή να διαγραφούν με τον παραδοσιακό τρόπο. Αν μια συναλλαγή είναι καταγεγραμμένη στο blockchain, αντιγράφεται σε χιλιάδες κόμβους σε όλο τον κόσμο και παραμένει προσβάσιμη όσο λειτουργεί το δίκτυο. Αυτό σημαίνει ότι οι γνώριμες μέθοδοι takedown — null-routing IPs, κατάσχεση servers, κατάργηση domains — χάνουν μεγάλο μέρος της αποτελεσματικότητάς τους απέναντι σε μια τέτοια υποδομή.

Τι ανακάλυψαν οι ερευνητές

Η ομάδα του QRator Research Lab περιγράφει το Aeternum ως έναν C++ loader που λειτουργεί εξ ολοκλήρου μέσω του Polygon. Οι εικόνες από τον πίνακα διαχείρισης που κυκλοφορούν σε underground forums δείχνουν ένα καλοσχεδιασμένο web dashboard όπου ο χειριστής μπορεί να επιλέγει ενεργά smart contracts, να στέλνει νέες εντολές, να παρακολουθεί μολυσμένες συσκευές και να διαχειρίζεται πολλαπλά payloads ταυτόχρονα. Η διάδοση των εντολών φαίνεται να είναι γρήγορη: οι πωλητές ισχυρίζονται ότι όλα τα online bots λαμβάνουν νέες εντολές μέσα σε δύο έως τρία λεπτά — χρόνος που συγκρίνεται πολύ ευνοϊκά με peer-to-peer botnets όπου η προώθηση μπορεί να είναι αργή και αναξιόπιστη.

Κάθε εντολή γράφεται ως συναλλαγή και γίνεται μόνιμη. Οι χειριστές μπορούν να έχουν πολλαπλά συμβόλαια, κάθε ένα συνδεδεμένο με διαφορετικού τύπου payloads, όπως information stealers, cryptocurrency miners ή RATs. Ενδιαφέρον τεχνικό χαρακτηριστικό είναι ότι το σύστημα επιτρέπει στόχευση ανά HWID, δηλαδή ανά σταθερό αναγνωριστικό υλικού, δίνοντας τη δυνατότητα πολύ στοχευμένων εκστρατειών.

Προηγούμενα πειράματα και διαφορές

Η ιδέα χρήσης blockchain για C2 δεν είναι εντελώς καινούργια. Το προηγούμενο παράδειγμα που αναφέρουν πολλοί αναλυτές είναι το Glupteba, που είχε χρησιμοποιήσει Bitcoin συναλλαγές για την αποθήκευση backup domain data. Ωστόσο, το Glupteba εξακολουθούσε να βασίζεται σε παραδοσιακούς HTTPS servers ως κύρια πηγή εντολών, και όταν αυτές οι υποδομές υδραναχλύφθηκαν το 2021, υπήρξε σημαντική διαταραχή. Το Aeternum πάει ένα βήμα παραπέρα: δεν έχει κεντρικό fallback. Η blockchain-only σχεδίαση εξαλείφει την κλασική υποδομή που οι άμυνες στοχεύουν.

Υπάρχει και μια σημαντική διαφορά στο οικονομικό κομμάτι: οι πληρωμές για την αποστολή εντολών στο blockchain είναι φθηνές. Σύμφωνα με αναφορές, ένα κόστος περίπου $1 σε MATIC καλύπτει πάνω από 100 εντολές. Αυτή η εξαιρετικά χαμηλή τιμή μειώνει το οικονομικό εμπόδιο εισόδου και επιτρέπει σε επίδοξους κακοποιούς να στηθούν γρήγορα με μόνιμη υποδομή.

Τεχνικές αποφυγής και λειτουργικότητες

Το kit του Aeternum που κυκλοφορεί σε darknet marketplaces προσφέρει επιπλέον λειτουργίες αποφυγής ανίχνευσης: ενσωματωμένους ελέγχους για virtual machines και sandbox environments ώστε να μην εκτελείται σε ερευνητικά περιβάλλοντα, και ένα scantime antivirus scanner που χρησιμοποιεί το API του Kleenscan για έλεγχο εντοπισμού από δεκάδες μηχανές εντοπισμού πριν το deployment. Αυτά τα χαρακτηριστικά ενισχύουν την επιβίωση και την ανθεκτικότητα του loader, μειώνοντας τη δυνατότητα έγκαιρης ανίχνευσης και απομόνωσης.

Επιπλέον, επειδή οι εντολές βρίσκονται on-chain, κάθε μολυσμένη συσκευή μπορεί να τις ανακτήσει μέσω περισσότερων από 50 διαφορετικών public RPC gateways. Αυτό διευρύνει τα μονοπάτια επικοινωνίας και καθιστά πρακτικά αδύνατο το πλήρες μπλοκάρισμα με βάση μόνο λίστες IP ή hostnames — υπάρχουν πάρα πολλοί διανομείς υπηρεσιών και δημόσια διαθέσιμοι κόμβοι.

Κίνδυνοι για άμυνες και νέες προκλήσεις

Η άμεση συνέπεια είναι ότι οι κοινές τακτικές takedown χάνουν τη βαρύτητά τους. Hosting providers μπορούν να null-route IPs· διωκτικές αρχές μπορούν να κατασχέσουν φυσικούς servers· ακόμα και peer-to-peer δίκτυα έχουν ιστορικό διασποράς μέσω poisoning ή sinkholing. Όμως όταν ο έλεγχος είναι γραμμένος σε ένα δημόσιο ledger, η μάχη μεταφέρεται στο ίδιο το blockchain. Οι αμυνόμενοι θα πρέπει να σκεφτούν διαφορετικά: όχι μόνο πως να καταστρέψουν διακομιστές, αλλά πώς να επηρεάσουν ή να περιορίσουν τον τρόπο που τα bots αντλούν και ερμηνεύουν τις on-chain εντολές.

Μέσα σε αυτό το νέο τοπίο, οι προτεινόμενες προσεγγίσεις περιλαμβάνουν ενίσχυση του network edge με DDoS mitigation και filtering, εφαρμογή ισχυρών EDR που μπλοκάρουν διαδικασίες πριν κάνουν αιτήματα σε RPC, και ανάπτυξη signatures ή heuristics που εντοπίζουν ύποπτα πρότυπα πρόσβασης σε smart contracts. Επιπλέον, η συνεργασία με δημόσιους παρόχους RPC μπορεί να βοηθήσει στον εντοπισμό ύποπτων μοτίβων κίνησης και στην προσωρινή αποτροπή πρόσβασης σε συγκεκριμένα συμβόλαια, αν και τέτοιες ενέργειες αγγίζουν νομικά και ηθικά ερωτήματα γύρω από λογοκρισία και ελευθερία του δικτύου.

Πρακτικές άμυνες και τεχνικά μέτρα

Πρακτικά, οι οργανισμοί θα πρέπει να επενδύσουν σε πολυεπίπεδη προστασία. Στο endpoint επίπεδο, ισχυρά EDR με sandboxing, behavioural detection και blocklist γνωστών διευθύνσεων RPC. Στο δίκτυο, φίλτρα που εμποδίζουν αιτήσεις προς συγκεκρικευμένα δημόσια RPC endpoints ή που περιορίζουν endpoint access σε ελεγχόμενους, πιστοποιημένους κόμβους. Στο επίπεδο SIEM και threat intelligence, εργαλεία που αντιστοιχούν on-chain συναλλαγές σε γνωστές διευθύνσεις contract και ανιχνεύουν pattern-based retrieval queries.

Επίσης, honeypots και ειδικές μηχανές ανάλυσης μπορούν να παρακολουθούν τα smart contracts που χρησιμοποιούν οι επιτιθέμενοι, να καταγράφουν και να αποδιαμορφώνουν τις εντολές και να τροφοδοτούν signatures προς κοινότητες CERT και παρόχους ασφάλειας. Τέλος, οι οικονομικο-ερευνητικές προσεγγίσεις — παρακολούθηση ροών MATIC, εντοπισμός λογαριασμών που χρηματοδοτούν συναλλαγές — μπορούν να δώσουν στοιχεία για ταυτοποίηση χειριστών και συνεργασίες με ανταλλακτήρια για πάγωμα κεφαλαίων.

Ελληνικό και ευρωπαϊκό πλαίσιο

Στην Ελλάδα και στην Ευρώπη, η άνοδος τέτοιων τεχνικών δημιουργεί προκλήσεις για τις υφιστάμενες νομοθετικές και επιχειρησιακές δομές. Η αδυναμία «κατάσχεσης» μιας on-chain υποδομής σημαίνει ότι οι αρχές πρέπει να εμπλακούν σε συνδυαστικές ενέργειες: τεχνική ανάλυση, διαδικαστική διερεύνηση off-chain στοιχείων, συνεργασία με ανταλλαγές κρυπτονομισμάτων και, αν χρειάζεται, συνεργασία με διεθνείς φορείς για παρακολούθηση της αλυσίδας. Ο ευρωπαϊκός κανονιστικός χώρος για τα crypto, που περιλαμβάνει μέτρα AML και KYT, μπορεί να γίνει κρίσιμο εργαλείο στον εντοπισμό και την πίεση οικονομικών ροών που χρηματοδοτούν τέτοιες υποδομές.

Παράλληλα, οι οργανισμοί δημόσιου και ιδιωτικού τομέα στην Ελλάδα θα πρέπει να ενισχύσουν τις ικανότητες threat hunting και να ενσωματώσουν blockchain intelligence στα SOC τους. Η εκπαίδευση των ομάδων incident response και η δημιουργία playbooks που προβλέπουν σενάρια blockchain-C2 θα είναι απαραίτητες κινήσεις τα επόμενα χρόνια.

Γιατί έχει σημασία

Η έλευση του Aeternum δείχνει πως οι κακόβουλοι παράγοντες υιοθετούν τεχνολογίες που παρέχουν ανθεκτικότητα και χαμηλό κόστος. Όταν οι εντολές ενός botnet γίνονται μέρος ενός δημόσιου, αμετάβλητου ledger, το πεδίο δράσης αλλάζει — γίνεται πιο δύσκολο να σταματήσεις την υποδομή, αλλά ταυτόχρονα δημιουργούνται νέα σημεία πίεσης, όπως η χρηματοδότηση και τα on-chain μοτίβα. Η μετάβαση από server-centric σε blockchain-centric C2 σημαίνει ότι οι υπεύθυνοι ασφάλειας δεν μπορούν πλέον να βασίζονται μόνο σε takedowns· πρέπει να συνδυάζουν τεχνικές ανίχνευσης, οικονομικούς ελέγχους και διεθνή συνεργασία.

Τι σημαίνει για τους χρήστες

Για τον μέσο χρήστη και για μικρές επιχειρήσεις, το σημαντικό είναι να μην πανικοβάλλονται αλλά να δράσουν προληπτικά. Ενημέρωση και τακτικά backups, πλήρης patching, χρήση αξιόπιστων endpoint protection με behavioural analysis και περιορισμός δικτύου για μη εξουσιοδοτημένες εξωτερικές συνδέσεις μπορούν να μειώσουν τον κίνδυνο. Οι οργανισμοί IT πρέπει επίσης να απαγορεύσουν ή να περιορίσουν την πρόσβαση σε δημόσια RPC endpoints από endpoints εργασίας και να διατηρούν whitelist μόνο για ελεγχόμενες υπηρεσίες όταν αυτό είναι δυνατόν.

Σε επίπεδο πολιτικής, οι κυβερνήσεις και οι ρυθμιστές πρέπει να δώσουν έμφαση στην ενίσχυση των ικανοτήτων threat intelligence και στην ενθάρρυνση συνεργασιών μεταξύ δημόσιου και ιδιωτικού τομέα. Η πολιτική και τεχνική υποδομή πρέπει να συντονιστεί για να αντιμετωπιστεί μια απειλή που δεν περιορίζεται πλέον σε φυσικούς servers.

Συμπέρασμα

Το Aeternum δεν είναι απλά ένα νέο botnet. Είναι ένδειξη μιας πιο ευρύτερης τάσης: η αξιοποίηση των δημόσιων blockchains για ανθεκτικές υποδομές ελέγχου. Αυτή η τάση θα δοκιμάσει τις παραδοσιακές μεθόδους αντιμετώπισης και θα επιβάλλει νέες στρατηγικές που συνδυάζουν τεχνική άμυνα, on-chain ανάλυση και διεθνή συνεργασία. Όσοι ασχολούνται με την ασφάλεια πληροφοριών πρέπει να επεκτείνουν την οπτική τους πέρα από τους servers και να αρχίσουν να βλέπουν το blockchain ως πιθανό «πεδίο μάχης» — με όλες τις τεχνικές, νομικές και επιχειρησιακές συνέπειες που αυτό συνεπάγεται.