Центр исследования компьютерной преступности

home контакты

Ботнет Великий и Ужасный

Дата: 09.05.2007
Источник: Компьютерра
Автор: Родион Насакин


etc/research2.jpgДля многих не станет откровением тот факт, что рассылка львиной доли спама в Интернете, а равно и хакерские DDoS-атаки на корпоративные и государственные серверы предпринимаются с использованием компьютерных сетей, зараженных вирусами.

Владельцы машин, как правило, даже не подозревают, для каких неблаговидных целей используют их ПК отрицательные персонажи интернет-андеграунда. Год от года сети компьютеров-зомби - ботнеты - становятся все шире, совершенствуется их структура, выявляются новые возможности их использования в криминальных целях. В начале текущего года проблема "заразных" сетей достигла апогея.

Лихая година
Косвенным признаком, указывающим на серьезность вопроса, можно считать доклад о ботнетах, сделанный не на очередной конференции по информационной безопасности, где затрагиваются темы и пострашнее, а на Мировом экономическом форуме в Давосе. Впрочем, докладчик - один из создателей TCP/IP Винт Серф - не был оригинален. Он в очередной раз рассказал, что такое ботнеты, кому и зачем они нужны, а затем привел статистику. По его данным, четверть компьютеров, подключенных к Интернету во всем мире (а это около 150 млн. машин), может находиться в ботнетах. Джон Маркофф из New York Times в развитие темы вспомнил случай с подключением одной из зараженных сетей к Yahoo, в результате чего 15% пропускной способности поискового сервиса было направлено на обработку запросов сети по скачиванию текстовых фрагментов для маскировки спам-писем. В общем, участники дискуссии сошлись на том, что к борьбе с ботнетами нужно привлечь всех: от пользователей и провайдеров до вендоров аппаратного и программного обеспечения, надзорных органов и правительств.

Конечно, делать выводы об обреченности Интернета рано, однако повод для беспокойства все же имеется. В общем-то, эволюция ботнетов следует по накатанной колее и повторяет тенденцию, свойственную киберпреступности в целом, а именно коммерциализацию хакеров. Хулиганы-идеалисты остались в голливудских сюжетах. В реальности речь идет о серьезном и уже зрелом рынке, на котором ботнеты - просто инструмент, помогающий выполнять хорошо оплачиваемые заказы.

На днях журналисты Washington Post подвели итоги минувшего года в интернет-сфере и назвали его "самым киберпреступным". Правда, поводом для такого заявления стали не прозвучавшие в Давосе цифры, а рекордный уровень спама в прошлом октябре. Тогда соответствующий показатель перевалил за 90% от всего почтового трафика. Активизация спамеров и угроза почтового мусора для интернет-сообщества констатирована в итоговом аналитическом отчете IronPort, авторы которого утверждают, что объемы спама в глобальном трафике за год удвоились. А в ноябре дважды был зарегистрирован резкий скачок спама до 85 млрд. писем в сутки. По данным экспертов, существенная доля спама рассылается силами организованных групп, которые уже выстроили глобальную инфраструктуру для своей деятельности в онлайне и способны отправлять миллиарды сообщений примерно со 100 тысяч серверов из 120 стран.

Интересно, что в прошлом году резко изменилась и временная динамика активности хакеров. Если еще в 2005-м подавляющее число инцидентов приходилось на ночи и уик-энды, то сейчас хакеры не спят и в будни. Таким образом, делает вывод Washington Post, "разведение" и использование ботнетов из экзотического развлечения превратилось в основное занятие немалого числа людей. А поскольку профессионалов в этом "бизнесе" прибыло, то повысился и спрос на зомбированные компьютеры, так что минувший год охарактеризовался еще и огромным количеством обнаруженных дыр в ПО. Солидная доля из них относилась к уязвимостям, найденным уже после того, как ими воспользовались хакеры. Вдобавок если раньше ряды ботнетов пополнялись преимущественно за счет заражения через дыры в браузерах, то теперь злоумышленники освоили и другие виды софта, в том числе текстовые редакторы, плееры и электронные таблицы.

Также резко участились случаи инфицирования через баннеры. Причем речь не идет о рекламе на порносайтах или других маргинальных ресурсах. Вспомним хотя бы инцидент с MySpace в июле прошлого года, когда выяснилось, что транслируемый в крупнейшей социальной сети баннер загружает на пользовательский компьютер троянца, а тот, в свою очередь, - прочий зловредный софт. Всего владельцам баннера удалось заразить 1,07 млн. компьютеров.

История возмездия
Уголовное преследование владельцев ботнетов - пока чрезвычайно редкое событие, и количество подобных дел за последние несколько лет можно пересчитать по пальцам одной руки. Самым нашумевшим случаем остается дело Дженсона Джеймса Анчете, который с помощью сети зомбированных компьютеров распространял и устанавливал adware, то есть бесплатный софт, за пользование которым приходится расплачиваться просмотром рекламы. Причем речь шла о продукции относительно "культурной" компании - 180solutions, которая в контрактах с агентами жестко ограничивает методы распространения своих программ, дабы не навлечь бед и не вызвать недовольства пользователей. По крайней мере, так утверждали представители фирмы.

Однако двадцатилетний Анчете оказался чрезвычайно старательным партнером и использовал для инсталляции adware созданный им ботнет, насчитывающий около 400 тысяч компьютеров. Тогда в 180solutions пришли люди из ФБР и легко убедили компанию сотрудничать с ними в поимке и сборе доказательств о преступлениях Анчете. Впрочем, круг интересов последнего был гораздо шире, нежели установка adware. Хакер охотно сдавал ботнет в аренду спамерам. В число зараженных попали машины авиабазы ВМС США в Чайна-Лейк, что и привлекло внимание спецслужб и породило невиданную прежде ретивость в поимке киберпреступника. После ареста и закрытия ботнета уровень спама в общем почтовом трафике резко пошел на убыль.

По вынесенному в мае прошлого года приговору Анчете лишился свободы на 57 месяцев, вернул $60 тысяч незаконной прибыли и был оштрафован на $15 тысяч за проникновение в компьютеры военного объекта.

Еще один приговор по делу о ботнетах был вынесен уже в этом году, на сей раз в Нидерландах. Тамошний суд приговорил к тюремному заключению и штрафам в размере 4 тысяч и 9 тысяч евро двух хакеров, организовавших ботнет из нескольких миллионов компьютеров. Впрочем, сразу после оглашения приговора подсудимых отпустили, так как они уже отсидели свои сроки во время предварительного заключения.

В деле снова фигурировала 180solutions. Пару лет назад сотрудники компании заметили у одного из своих голландских агентов необычно высокий объем установок adware, заподозрили его в нарушении условий партнерского договора и попытались выйти на связь, но безуспешно. Тогда сотрудничество было прервано по инициативе 180solutions. Прекратив получать деньги, экс-агент тут же отреагировал, однако вместо того, чтобы покаяться, начал вымогать у компании причитающуюся ему, как он считал, сумму, угрожая в противном случае устроить DDoS-атаку. Когда хакер получил отказ и перешел к действиям, 180solutions уже сама обратилась в ФБР. Компания "согласилась" с требованиями рэкетира и перевела запрашиваемые деньги на указанный банковский счет, не забыв передать реквизиты правоохранительным органам. После этого ФБР обратилось в свое юридическое представительство в Нидерландах, через которое о преступлении были проинформированы голландские власти. В ходе расследования полицейским удалось установить личности авторов троянца W32.Toxbot, "плетущего" из компьютеров ботнеты.

Спам и фишинг
Использование сетей зараженных ПК дает возможность проводить масштабную спам-рассылку за несколько часов, оперативно меняя источник отправки сообщений и тем самым обходя средства фильтрации на основе правил и черных списков. В IronPort полагают, что сейчас более 80% спама рассылается с ботнетов, а средняя продолжительность использования одного компьютера-зомби не превышает месяца.

Гади Эврон, израильский специалист по информационной безопасности, оценил доходность сетей компьютеров-зомби в 2006 году в $2 млрд. Владельцы ботнетов, по его сведениям, в основном зарабатывают на фишинге, рассылая миллионы электронных писем-завлекалок. Трафик от пользователя к "подставному" сайту все чаще проходит через ботнет, что позволяет обойти защиту браузерных антифишинговых систем. Главной целью атак остается финансовый сектор, а самыми популярными логотипами фишеров по-прежнему являются eBay и PayPal.

При этом эффективных средств противодействия ботнетам на сегодняшний практически не существует, что отчасти связанно с тем, что технологии управления зомбированными компьютерами постоянно модифицируются. Дефицит оборонительных возможностей ярко подчеркивает прошлогодний случай с компанией Blue Security, которая работала над антиспамовой системой, и, похоже, небезуспешно. Во всяком случае, она привлекла внимание одного из спамеров под ником PharmaMaster (говорят, наш соотечественник), который настоятельно порекомендовал разработчикам свернуть проект, угрожая в противном случае обрушить корпоративные серверы DDoS-атакой. В Blue Security угрозу проигнорировали, и, как выяснилось, зря. Под валом мусорных запросов все серверы компании стали недоступными. Специалисты в срочном порядке стали просчитывать варианты защиты и пришли к неутешительному выводу, что практически ничего не могут противопоставить злоумышленнику. Компания признала свое поражение и решила испытать силы в менее опасных сферах.

Вторит экспертам и TrendMicro, исследователи которой, изучив криминальную обстановку в Сети в 2006-м, считают, что в текущем году инструментарий для криминальных атак будет состоять преимущественно из комбинированного ПО, оснащенного средствами маскировки и защиты от систем сетевой безопасности, а практика использования преступными группировки ботнетов получит еще большее распространение. Это, в свою очередь, повысит спрос на вирусы, троянцы и...

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2007 Computer Crime Research Center

CCRC logo
Рассылка новостей