Серверы больше не нужны. Злоумышленники нашли способ создать вечный вирус за сущие копейки

Компания Qrator Labs сообщила о появлении новой бот-сети Aeternum C2, которая переносит управление заражёнными устройствами в публичный блокчейн и тем самым лишает защитников привычной точки давления. Если раньше правоохранительные органы и ИБ-компании выводили из строя сети вроде Emotet, TrickBot и QakBot, изымая серверы управления или блокируя домены, то в новом случае централизованная инфраструктура просто отсутствует.

Команда Qrator Labs обнаружила загрузчик на C++, доступный в версиях x32 и x64. Aeternum записывает команды для заражённых машин в смарт-контракты сети Polygon. Устройства получают инструкции, обращаясь к публичным RPC-узлам. Оператор управляет процессом через веб-панель: выбирает контракт, тип команды, указывает ссылку на полезную нагрузку и публикует транзакцию. После подтверждения в сети запись становится доступной всем ботам. По данным авторов отчёта, обновление доходит до активных машин за несколько минут.

Каждый смарт-контракт может обслуживать отдельную функцию — от кражи данных и удалённого доступа до майнинга. Панель позволяет управлять несколькими контрактами одновременно. Для отслеживания заражённых устройств оператор отправляет команду ping, после чего бот делает HTTP-запрос с идентификатором оборудования и другими техническими параметрами. Такой механизм помогает фильтровать конкретные машины и оценивать масштаб сети.

Главное отличие Aeternum от классических схем управления заключается в полном отказе от серверов и доменов. Данные хранятся в распределённой сети узлов Polygon и доступны через десятки публичных точек доступа. Изъять «центр» управления невозможно, поскольку центр отсутствует как сущность. В Qrator Labs напомнили о случае с Glupteba, которую Google частично нейтрализовала в 2021 году, отключив серверы и домены. Тогда злоумышленники использовали блокчейн Bitcoin как резервный канал. Aeternum применяет блокчейн сразу как основной и единственный механизм.

Экономика схемы делает запуск устойчивой бот-сети дешёвым. Разработчики продают либо пожизненную лицензию с готовой сборкой, либо исходный код на C++ с обновлениями. Для публикации сотни команд достаточно примерно одного доллара в токенах MATIC. Расходов на аренду серверов и регистрацию доменов не требуется — достаточно криптокошелька и панели управления.

Загрузчик также включает механизмы обхода анализа. Встроенная защита от виртуальных сред мешает запуску в песочницах, которые используют антивирусные компании. Продавец дополнительно предлагает проверку сборок через API Kleenscan с оценкой детектирования десятками движков. В опубликованных примерах часть крупных вендоров не фиксировала угрозу на момент тестирования.

По оценке Qrator Labs, даже если конкретная версия Aeternum не получит массового распространения, сама модель управления через блокчейн уже стала готовым продуктом на теневом рынке. Такой подход усложняет традиционные операции по отключению инфраструктуры и усиливает риски масштабных DDoS-атак, краж учётных данных и других злоупотреблений. В условиях, когда перекрыть канал управления невозможно, защита смещается к фильтрации трафика и выявлению заражённых устройств на стороне сети и конечных точек.