Ewolucja złośliwego oprogramowania VII-IX 2007

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2007

Trzy Z

Teraz wszystko stało się jasne. W rezultacie, rosyjska społeczność cyberprzestępców stosuje standardowy pakiet: zestaw Zupacha+ZeuS oraz zarządzany przez ten zestaw botnet Zunker.

Rozmiar sieci zombie stworzonych przy użyciu tych programów jest imponujący. Jedna z największych sieci, stworzona przy użyciu Zunker, składała się w momencie wykrycia z 106 000 zaatakowanych maszyn - co 24 godziny dodawanych było 1 500 nowych komputerów. Zupacha potrafił bardzo skutecznie się rozprzestrzeniać, ponieważ centrum dowodzenia botnetu jest łatwe w konfiguracji i użyciu.

Każdy szkodliwy użytkownik, nawet "dzieciak skryptowy", mógłby kupić te dwa trojany (ZeuS oraz Zupacha) skonfigurowane specjalnie dla konkretnego klienta. Następnie musiał wynająć serwer i zainstalować Zunkera (panel sterujący botnetu). Naturalnie w wielu przypadkach wybraną firmą hostingową była Russian Business Network, o której przez ostatnie sześć miesięcy donosiły media, i która zyskała na Zachodzie reputację podobną do tej, jaką cieszyła się Umbrella Corporation w grze video Resident Evil.

Specjalistów Kaspersky Lab interesowała nie tyle RBN co jej klienci oraz wykorzystywane przez nich botnety. Ponieważ wiedzieli, gdzie i czego szukać łatwo zidentyfikowali kilka takich systemów.

Eksperci Kaspersky Lab są pewni, że niektóre z botnetów Zunker wykorzystywane były do rozprzestrzeniania niebezpiecznych szkodliwych programów, takich jak Zhelatin (robak Storm) oraz Warezov. Ich autorzy mogli celowo wykorzystać Zunker+Zupacha do stworzenia tych botnetów lub też wydzierżawić moc istniejących już botnetów, płacąc właścicielom za rozprzestrzenianie swych szkodników.

Warto zauważyć, że gdy Zupacha wpadł w ręce hakerów z Zachodu, ci zachwycali się koncepcją, analizowali kod i dyskutowali na jego temat na forach (http://www.1918.com). Chociaż nie mieli kodu źródłowego, nauczyli się, w jaki sposób można zmodyfikować adres centrum dowodzenia w pliku binarnym trojana, aby wykorzystać go do swoich własnych celów. Próbowali nawet sami stworzyć centrum dowodzenia zawierające bazę danych, w której zapisana została konfiguracja trojana. Później, jeden z tych hakerów znalazł kod centrum dowodzenia oraz strukturę bazy danych i wszystko potoczyło się bardzo szybko. Osoby zaangażowane w to (analizowanie rosyjskiego trojana oraz wykorzystywanie "broni rosyjskiej mafii") brały udział w rozwijaniu, rozprzestrzenianiu oraz popularyzacji Zupacha.

Wnioski

Powyższe informacje obrazują, w jaki sposób cyberprzestępcy (w szczególności rosyjscy) działają zespołowo. Poszczególni twórcy wirusów oraz ich grupy tworzą programy trojańskie na sprzedaż. Ci, którzy je kupują, konfigurują je zgodnie z własnymi potrzebami, w efekcie czego oryginalny program jest często trudny do rozpoznania. Zainfekowane maszyny połączone są w botnety, które mogą składać się z setek tysięcy maszyn. Maszyny te są zarządzane poprzez centrum dowodzenia - kodu stworzonego przez innych szkodliwych użytkowników, który również jest na sprzedaż. Botnety te mogą być wykorzystywane do rozprzestrzeniania szeregu różnych szkodliwych programów, które często bezpośrednio konkurują ze sobą. Aby cała ta struktura miała jak najdłuższy cykl życia, mimo wszystkich wysiłków firm antywirusowych oraz organów ścigania, istnieją wyspecjalizowane firmy hostingowe oferujące swoje usługi po cenach od kilkudziesięciu do tysięcy dolarów miesięcznie.

Przemysł ten naturalnie przynosi pewne zyski, ponieważ istnieje nie tylko zapotrzebowanie na tworzenie i rozprzestrzenianie trojanów, ale również podaż. Badanie Kapsersky Lab skoncentrowało się jedynie na części góry lodowej: tej złożonej z rosyjskojęzycznych grup hakerów. Naturalnie istnieją też inne grupy - z Ameryki Południowej, Chin, Turcji itd. Każda z tych grup posiada własny sposób działania i charakter, są jednak stosunkowo do siebie podobne. W Internecie nie ma żadnych granic.

Ostatnim przykładem może być artykuł, który pojawił się 17 sierpnia w InformationWeek. W artykule tym Don Jackson, ekspert ds. bezpieczeństwa w SecureWorks, powiedział, że zidentyfikował 12 schowków danych, z których większość zawierała od czterech do sześciu tysięcy skradzionych wpisów. W sumie, skradzione zostały dane około 100 000 osób. Dane te zostały skradzione przez trojany zawarte w fałszywych reklamach na dwóch największych stronach rekrutacyjnych, z których jedna to Monster.com.

Prawdopodobnie odgadliście już, o jakim trojanie mówił Jackson, i gdzie szkodnik ten wysłał przechwycone dane. Tak, macie rację! To ZeuS, "uniwersalny" kod, który wysłał dane do Russian Business Network.