краж и другие учреждения, оперирующие чувствительной персональной информацией граждан, а также, разумеется, и миллионы людей, чьи данные похищаются в преступных целях.
Особую остроту этой проблеме придает то, что современный программный инструментарий для сборки и использования шпионского ботнета совсем не сложен в освоении и доступен злоумышленникам даже с минимальными компьютерными навыками. На подпольных онлайновых рынках такие инструментальные пакеты продаются по цене от нескольких сот до нескольких тысяч долларов, а самые жадные и целеустремленные искатели могут раздобыть их вообще бесплатно.
Ну и поскольку речь идет о криминальном мире, практически с момента появления шпионских ботнетов в Сети обычным делом здесь является «угон» уже развернутого ботнета у хозяина более шустрыми и нахальными конкурентами. Которым, скажем, лень или невтерпеж месяцами дожидаться наращивания количества ботов (зараженных зомби-компьютеров) в системе, а гораздо проще перехватить управление чужим ботнетом.
О тайной жизни ботнетов обычно пишут непрерывно сражающиеся с ними антивирусные компании, а также академические исследователи из университетских лабораторий компьютерной безопасности. Как правило, главными источниками сведений здесь являются коды выявленных ботов, тщательно препарируемые инструментальные наборы-билдеры с черного рынка и искусственно «подсаживаемые» в ботнет компьютеры исследователей, позволяющие наблюдать поведение шпионских программ непосредственно в работе.
В начале нынешнего года команда исследователей из Калифорнийского университета в Санта-Барбаре решила поставить изучение криминальных ботнетов на качественно новый уровень и попытаться «угнать» одну из таких сетей у их владельцев. В качестве объекта был выбран чрезвычайно продвинутый ботнет Torpig, также известный под именами Sinowal или Anserin. Поскольку попытка угона была тщательно подготовлена и прошла весьма успешно — по крайней мере, в начальных фазах, — калифорний-цам удалось узнать массу действительно новых вещей о тайной жизни крупных ботнетов, управляемых из преступного мира. Наиболее существенные из этих открытий изложены в отчете, опубликованном в Сети.
В ЦЕНТРЕ ШПИОНСКОЙ АРМАДЫ
Итоговая статья калифорнийской команды имеет объем около полутора десятков страниц убористым шрифтом и более чем заслуживает полного с нею ознакомления. Здесь же мы вкратце изложим лишь наиболее примечательные моменты исследования (заметим, что угон ботнета Torpig длился десять дней и предоставил ученым огромное количество материалов для анализа). Самой интересной частью отчета, безусловно, является рассказ о том, как исследователям удалось угнать у хозяев столь изощренный ботнет, про который было известно, что он регулярно меняет сетевые адреса своего центра управления (С&С). Сотрудники университетской лаборатории компьютерной безопасности сумели разобраться, каким образом бот в зомби-машине решает, куда ему обращаться за очередными инструкциями. Иными словами — как работает алгоритм вычисления очередного адреса для размещения С&С. В частности, было установлено, что ботнет использовал особую технологию для псевдослучайной генерации адресов, получившую у исследователей название «поток доменов» (domain flux). В соответствии с этим алгоритмом боты Torpig (а также других продвинутых бот-нетов) регулярно, скажем, раз в неделю, обращаются к новым веб-сайтам с разными именами. Этот прием, как легко догадаться, направлен на то, чтобы максимально затруднить охотникам за ботнетом (правоохранительным органам или конкурентам-угонщикам) предугадывание дальнейших ходов системы.
Впрочем, восстановить довольно простой и сугубо детерминированный алгоритм генерации адресов для опытных аналитиков не составило большого труда — достаточно было лишь установить, где именно спрятан его код. После этого уже можно было определить, к каким сайтам боты Torpig станут обращаться в дальнейшем за новыми инструкциями. Говоря упрощенно, Torpig брал за основу «случайного» имени номер текущей недели и год и генерировал блок новых доменных имен, добавляя в конец суффиксы .com, .net и .biz.
Университетская команда заметила, что владельцы ботнета регистрировали нужные домены лишь за несколько недель до наступления соответствующей даты, поэтому «угонщики» немного их опередили, вычислив, к каким именам Torpig вскоре должен обращаться, купили эти имена и разместили на веб-хостах, известных своим безразличием к сигналам о злоупотреблениях арендаторов. Этот трюк позволил команде выдать себя за новый С&С и начать прием всех данных, собираемых ботнетом Torpig, Как только исследователи обнаружили, что их затея удалась, они не мешкая связались с ФБР и Министерством обороны США, посвятили их в суть операции и, грубо говоря прикрыли собственные задницы на случай возможных осложнений.
Если переходить на язык цифр, то количество зомби-машин, объединяемых центром управления сети Torpig, на момент исследования составляло около 182 800. При этом свыше 17 200 компьютеров из этого числа принадлежали корпоративным сетям фирм и учреждений. Поскольку целью исследования была не ликвидация или модификация криминальной сети, а максимально возможный сбор сведений о работе ботнета, ученые просто наблюдали за автоматически происходящей работой из захваченного центра управления, а также накапливали и изучали всю ту информацию, что боты похищают из зараженных ПК.
За 10-дневный период, доступный для наблюдения, ботнет выкачал свыше 69 гигабайт чувствительных данных из машин ничего не подозревающих пользователей. В соответствии с настройками шпионских ботов, по преимуществу это была информация для доступа к банковским счетам и реквизиты кредитных карт, списки адресов электронной почты для спам-рассылок, логины-пароли для доступа к email- и прочим защищенным эккаунтам пользователей, а также файлы Windows-паролей и вводимых с клавиатуры текстов, перехватываемых кейлоггерами. В общей сложности за этот срок ботнет Torpig похитил 1660 уникальных номеров кредитных и дебетовых карточек, плюс информацию о 8310 счетах в 410 разных финансовых учреждениях. Среди наиболее активно атакуемых целей похитителей были сервисы РауРа! (1770 аккаунтов), Poste Italiane (765), Capital One (314), E'Trade (304) и Chase (217). Вся информация, которую ботнет собрал под контролем исследователей, затем была передана пострадавшим финансовым институтам и правоохранительным органам. Как пояснил эту часть работы один из руководителей операции, доцент университета Джованни Винья, «нашей целью было понять характерные черты жертв ботнета».
Первый из «уведенных» доменов типа .com, на котором был размещен центр управления угонщиков, был закрыт менее чем через наделю, 30 января 2009, когда один из банков пожаловался на криминальную активность сайта регистратору доменных имен. Что, впрочем, отнюдь не было воспринято командой как неудача: «Это был хороший признак, демонстрирующий, что где-то люди реально заняты выявлением вредоносной деятельности». Угонщики владели следующим именем из генерируемого ботами списка, типа .net, поэтому без проблем продолжили контроль за сетью. Однако 4 февраля изучение прирученного ботнета в работе полностью прекратилось, поскольку настоящие владельцы Torpig распространили новую версию кода, которая изменила алгоритм, использовавшийся ботами для выбора новых доменных имен, и вернула ботнет под свой контроль.
Несмотря на ту очевидную угрозу, что представляют для общества зомби-сети вроде Torpig, исследователи признают, что даже не пытались вырубить работу ботнета, Поскольку столь крутой шаг легко мог бы привести к непредвиденным последствиям. Например, к самоликвидации зараженных ботами систем, часть из которых может быть задействована в критично важных областях — вроде компьютеров в медицинских учреждениях.
ПРИСТУПИТЬ
К САМОЛИКВИДАЦИИ
То, что программы-боты превращают зараженные машины в «зомби», уводя компьютеры из-под контроля владельцев и передавая под контроль злоумышленников, уже давно трактуется как одна из наиболее пугающих деталей в работе вредоносного ПО. Потому что тайные владельцы из преступного мира в принципе располагают всеми возможностями для полной ликвидации сети, отдав ботам команду на самоуничтожение вместе с приютившей их компьютерной системой.
Но хотя о возможностях таких известно уже давно, большинство экспертов обычно расценивают подобную угрозу как сугубо теоретическую. Ибо ликвидация захваченных ботнетом систем выглядит для атакующей стороны как-то слишком уж нелогично и контрпродуктивно.
Но как бы там ни было, логично или не очень, однако в реальной жизни подобные акты массового
