Sieci botnet: dochodowy interes

Przeczytaj także: Komputer zombie - zagrożenie nie tylko w Halloween

Druga i prawdopodobnie najważniejsza rzecz, która wyróżnia botnet Mayday, to centrum C&C. Centra C&C botnetów zorientowanych na sieć wykorzystują mechanizm określany jako CGI (Common Gateway Interface). Zgodnie z pierwotnym projektem, technologia serwera sieciowego pozwalała na wykorzystywanie plików wykonywalnych jako implementacji CGI. Później pojawiły się również różne silniki skryptowe. Aplikacja CGI generuje zawartość żądanej przez użytkownika strony internetowej w czasie rzeczywistym, dzięki czemu możliwe jest wykonanie programu i wyświetlenie wyników tej operacji zamiast statycznych danych z serwera sieciowego. Skrypt CGI działa w podobny sposób, potrzebuje jednak interpretera (silnika skryptowego) w celu wyświetlania wyników swojej operacji. Z reguły, centra C&C dla botnetów zorientowanych na sieć opierają się na silnikach skryptowych.

We współpracy z organami ścigania Kaspersky Lab zdołał uzyskać kopię programu wykorzystywanego w centrum C&C botnetu Mayday. Oprogramowanie po stronie serwera botnetu Mayday to samodzielny plik ELF o rozmiarze 1,2 MB (plik wykonywalny Linuksa będący odpowiednikiem plików EXE systemu Windows) bez żadnych modułów. Oprogramowanie to nie wymaga, aby system posiadał silnik skryptowy. Na pierwszy rzut oka nie widać nic podejrzanego w tym, że autorzy Maydaya opracowali aplikację CGI zamiast skryptu CGI. Rodzi się jednak kilka pytań.

O wiele trudniej jest rozwinąć aplikację CGI niż napisać skrypt CGI, ponieważ uzyskanie stabilnego i niezawodnego kodu wymaga dodatkowego wysiłku. Obecnie w 99% rozwój sieci opiera się na silnikach skryptowych, podczas gdy monolityczne pliki wykonywalne CGI rozwijane są tylko wtedy, gdy niezbędna jest optymalizacja wszystkiego do najdrobniejszego szczegółu. Podejście to stosuje wiele dużych korporacji podczas rozwoju projektów, które muszą działać pod dużymi obciążeniami. Na przykład, monolityczne programy CGI są wykorzystywane w takich systemach sieciowych, jak eBay, Paypal, Yahoo! itd.

Dlaczego konieczne było stworzenie monolitycznego pliku wykonywalnego dla botnetu Mayday? Jednym z możliwych powodów może być to, że jego twórcy chcieli utrudnić "osobom z zewnątrz" edycję, rekonfigurację i odsprzedaż centrum C&C. Niezależnie od przyczyny, analiza struktury serwera oprogramowania serwerowego wykorzystywanego przez botnet Mayday pokazuje, że był to poważny projekt rozwojowy (kod jest porządny, dla aplikacji został stworzony uniwersalny system klas), który wymagał dobrze zorganizowanego zespołu programistów. Co więcej, aby stworzyć oprogramowanie dla botnetu Mayday, cyberprzestępcy musieliby pracować nad dwoma projektami, a nie nad jednym, rozwijając oprogramowanie zarówno dla systemu Windows, jak i Linux.

Kaspersky Lab nie wykrył żadnych nowych wariantów bota Mayday wiosną 2008 roku. Być może autorzy szkodliwego programu zrobili sobie przerwę i botnet Mayday powróci w najbliższej przyszłości.

Biznes botnetowy

Obecnie aby zdobyć botnet, cyberprzestępcy nie potrzebują ani specjalistycznej wiedzy, ani dużych pieniędzy. Każdy, kto chce wykorzystywać botnet, może po niskich cenach zaopatrzyć się na czarnym rynku botnetów we wszystko, czego potrzebuje, łącznie z oprogramowaniem, gotowymi sieciami zombie i anonimowymi usługami hostingowymi.

Pierwszą rzeczą, jaka jest potrzebna do stworzenia botnetu, jest bot, tj. program, który bez wiedzy użytkownika potrafi zdalnie wykonywać pewne czynności na jego komputerze. Oprogramowanie do tworzenia botnetów można bez trudu zakupić w Internecie. Wystarczy tylko znaleźć odpowiednie głoszenie i skontaktować się z ogłoszeniodawcą. Ceny botów wahają się od 5 do 1000 dolarów w zależności od skali botnetu, od tego, czy jest wykrywany przez produkty antywirusowe, jakie polecenia obsługuje itd.