Количество штаммов вредоносных программ, закодированных на языке программирования Go, стремительно возросло на 2000% с 2017 года. Об этом заявили специалисты компании по кибербезопасности Intezer, проведя соответствующее расследование.
В заявлении компании Intezer говорится о том, что по результатам исследования специалисты подтвердили общую тенденцию того, что в экосистеме вредоносного ПО авторы вредоносных программ постепенно переходят от С и С++ к языку программирования Go, который был разработан корпорацией Google в 2007 году.
«До 2019 года выявление вредоносного софта, написанного на Go, было крайне редким явлением, но в течение двух последних лет мы наблюдаем стремительный рост в этом направлении», – сказано в отчете Intezer.
Язык Go получил широкое распространение у хакерских групп, которые имеют государственное финансирование (APT-группировки), а также у специалистов, команд безопасности, часто применяющих его для создания наборов инструментов для проведения тестирования на проникновение.
Компания Intezer выделяет три основные причины, которые сделали язык Go настолько популярным у хакеров:
- поддержка простого процесса кроссплатформенной компиляции;
- сложность анализа и обратного проектирования двоичных файлов на основе Go ИБ-специалистами (уровень обнаружения вредоносного ПО на основе GO крайне низок);
- наличие поддержки Go для работы с сетевыми пакетами и запросами.
«Go располагает очень хорошо написанным сетевым стеком, с которым легко работать. Он стал одним из языков программирования для облачных сервисов, на котором написано огромное количество нативных облачных приложений. К примеру, Docker, Kubernetes, InfluxDB, Traefik, Terraform, CockroachDB, Prometheus, Consul. Это вполне объяснимое явление, потому что одной из причин разработки языка Go было создание лучшего языка, который можно было бы применять для замены внутренних сетевых сервисов C++, используемых корпорацией Google», – отмечают специалисты Intezer.
«Из-за того, что вредоносное ПО часто подделывает, выполняет сбор или отправку/получение сетевых пакетов, Go предоставляет создателям вредоносного софта все требуемые инструменты в одном месте. Поэтому вполне очевидно, почему многие киберпреступники переходят на него. Большинство вредоносных программ Go представлены в виде бот-сетей, нацеленных на устройства Linux и IoT. Они применяются киберпреступниками для установки майнеров, регистрации зараженных устройств в бот-сетях DDoS. Помимо этого, многие программы-вымогатели были написаны на Go и, скорее всего, их будет еще больше в перспективе», – говорится в отчете Intezer.