Журнал «Компьютерра» № 17 от 8 мая 2007 года
Шрифт:
Однако двадцатилетний Анчете оказался чрезвычайно старательным партнером и использовал для инсталляции adware созданный им ботнет, насчитывающий около 400 тысяч компьютеров. Тогда в 180solutions пришли люди из ФБР и легко убедили компанию сотрудничать с ними в поимке и сборе доказательств о преступлениях Анчете. Впрочем, круг интересов последнего был гораздо шире, нежели установка adware. Хакер охотно сдавал ботнет в аренду спамерам. В число зараженных попали машины авиабазы ВМС США в Чайна-Лейк, что и привлекло внимание спецслужб и породило невиданную прежде ретивость в поимке киберпреступника. После ареста и закрытия ботнета уровень спама в общем почтовом трафике резко пошел на убыль.
По вынесенному в мае прошлого года приговору Анчете лишился свободы на 57 месяцев, вернул $60
Еще один приговор по делу о ботнетах был вынесен уже в этом году, на сей раз в Нидерландах. Тамошний суд приговорил к тюремному заключению и штрафам в размере 4 тысяч и 9 тысяч евро двух хакеров, организовавших ботнет из нескольких миллионов компьютеров. Впрочем, сразу после оглашения приговора подсудимых отпустили, так как они уже отсидели свои сроки во время предварительного заключения.
В деле снова фигурировала 180solutions. Пару лет назад сотрудники компании заметили у одного из своих голландских агентов необычно высокий объем установок adware, заподозрили его в нарушении условий партнерского договора и попытались выйти на связь, но безуспешно. Тогда сотрудничество было прервано по инициативе 180solutions. Прекратив получать деньги, экс-агент тут же отреагировал, однако вместо того, чтобы покаяться, начал вымогать у компании причитающуюся ему, как он считал, сумму, угрожая в противном случае устроить DDoS-атаку. Когда хакер получил отказ и перешел к действиям, 180solutions уже сама обратилась в ФБР. Компания «согласилась» с требованиями рэкетира и перевела запрашиваемые деньги на указанный банковский счет, не забыв передать реквизиты правоохранительным органам. После этого ФБР обратилось в свое юридическое представительство в Нидерландах, через которое о преступлении были проинформированы голландские власти. В ходе расследования полицейским удалось установить личности авторов троянца W32.Toxbot, «плетущего» из компьютеров ботнеты.
Использование сетей зараженных ПК дает возможность проводить масштабную спам-рассылку за несколько часов, оперативно меняя источник отправки сообщений и тем самым обходя средства фильтрации на основе правил и черных списков. В IronPort полагают, что сейчас более 80% спама рассылается с ботнетов, а средняя продолжительность использования одного компьютера-зомби не превышает месяца.
Гади Эврон, израильский специалист по информационной безопасности, оценил доходность сетей компьютеров-зомби в 2006 году в $2 млрд. Владельцы ботнетов, по его сведениям, в основном зарабатывают на фишинге, рассылая миллионы электронных писем-завлекалок. Трафик от пользователя к «подставному» сайту все чаще проходит через ботнет, что позволяет обойти защиту браузерных антифишинговых систем. Главной целью атак остается финансовый сектор, а самыми популярными логотипами фишеров по-прежнему являются eBay и PayPal.
При этом эффективных средств противодействия ботнетам на сегодняшний практически не существует, что отчасти связанно с тем, что технологии управления зомбированными компьютерами постоянно модифицируются. Дефицит оборонительных возможностей ярко подчеркивает прошлогодний случай с компанией Blue Security, которая работала над антиспамовой системой, и, похоже, небезуспешно. Во всяком случае, она привлекла внимание одного из спамеров под ником PharmaMaster (говорят, наш соотечественник), который настоятельно порекомендовал разработчикам свернуть проект, угрожая в противном случае обрушить корпоративные серверы DDoS-атакой. В Blue Security угрозу проигнорировали, и, как выяснилось, зря. Под валом мусорных запросов все серверы компании стали недоступными. Специалисты в срочном порядке стали просчитывать варианты защиты и пришли к неутешительному выводу, что практически ничего не могут противопоставить злоумышленнику. Компания признала свое поражение и решила испытать силы в менее опасных сферах.
Вторит экспертам и TrendMicro, исследователи которой, изучив криминальную обстановку в Сети в 2006-м, считают, что в текущем году инструментарий для криминальных атак будет состоять преимущественно из комбинированного ПО, оснащенного средствами маскировки и защиты от систем сетевой безопасности, а практика использования преступными группировки ботнетов получит еще большее распространение. Это, в свою очередь, повысит спрос на вирусы, троянцы и spyware, позволяющие «рекрутировать» в сети зомби новые компьютеры, и укрепит альянс между спамерам, разрабатывающими вредоносное ПО, фишерами и прочими представителями интернет-криминалитета.
$50 000 за эксплойт
Департамент ФБР, занимающийся хакерами и прочими киберпреступниками, по количеству сотрудников уступает только подразделениям, ведающим разведкой и борьбой с терроризмом. По данным этого департамента, основная преступная активность сосредоточена в странах Восточной Европы, в том числе России. Но больше отличился за последнее время все же румынский онлайн-сегмент, где на одном из хакерских форумов за $50 тысяч уже предлагался эксплойт под Windows Vista, позволяющий создать ботнет.
Традиционной средой для организации ботнетов являются IRC-серверы. После заражения компьютера вирус инсталлирует программу-робота, которая через заданные промежутки времени обращается к одному или группе IRC-серверов за командами так называемого мастера, то есть лица, управляющего ботнетом. Такая схема предусматривает взаимодействие всех ботов с одним центральным звеном, что делает сеть уязвимой, поскольку удаление сервера полностью нейтрализует ботнет.
Однако в декабре 2006 года выяснилось, что злоумышленникам удалось решить эту проблему. Специалисты SecureWorks обнаружили в Интернете нового троянца SpamThru, который объединяет компьютеры-зомби по принципу децентрализации. В создаваемом таким образом ботнете каждый участник получает информацию о других, и если управляющий сервер вдруг отключается, достаточно дать одному из ботов координаты нового источника команд, чтобы возобновить работу. Устойчивость ботнетов в этом случае заметно возрастает, и представители MessageLabs полагают, что в текущем году пиринговые зомби будут интенсивно плодиться. Также специалисты компании соотносят появление SpamThru, который, по их сведениям, был запущен в октябре прошлого года, со скачком спам-трафика в тот же период.
Получив доступ к файлам командного сервера, в SecureWorks выяснили, что разработчики SpamThru, по всей видимости, родом из России. Об этом свидетельствуют имена файлов и текст исходного кода. Также удалось выявить структуру сформированного ботнета. Сеть состоит из 73 тысяч инфицированных компьютеров, которые распределяются между портами сервера в зависимости от модификации SpamThru и группируются в пиринговые сегменты – по 512 машин в каждом. География зараженных зомби тоже впечатляет. Компьютеры ботнета обнаружены в 166 странах, хотя более половины все же сосредоточены на территории США. Интересно, что около половины ботов были установлены на компьютерах, работающих под управлением Windows XP SP2. Так что интерес Microsoft к этой угрозе вполне оправдан. Штат отдела корпорации по борьбе с ботнетами – Internet Safety Enforcement, в котором раньше работало только три человека, недавно был расширен до 65 сотрудников, а представитель Microsoft отметил, что в 2007 году ботнеты станут одной из самых серьезных проблем безопасности в Интернете.
Дабы укрепить неуязвимость ботнета, его владельцы установили беспрецедентно высокую частоту обращений ботов при сбое или отказе сервера – до 3 млн. запросов в сутки. Троян также занимается сбором почтовых адресов с винчестеров зараженных машин для формирования спамерской базы. Кроме того, на сервере был найден софт для взлома сайтов финансово-новостной тематики. Причем целью взломщика тоже служили списки почтовых адресов, по которым впоследствии рассылалась реклама биржевых услуг. Генерируются спам-письма по шаблонам, позволяющим избежать обнаружения большинством распространенных фильтров. Сообщения включают как текст, так и картинки со случайным набором пикселов. Дабы не попасть в спам-списки, хакеры наладили циркуляцию в ботнете регулярно обновляемого списка прокси-серверов, доступного всем ботам.