Kaspersky Lab: szkodliwe programy III 2012

Przeczytaj także: Kaspersky Lab: szkodliwe programy II 2012

Podczas operacji przechwycenia kontroli nad botnetem botmasterzy zazwyczaj próbują wzmocnić swoje pozycje poprzez opublikowanie nowej wersji bota i uruchomienie kampanii mającej na celu podłączenie do botnetu nowych komputerów. Taki scenariusz zdarzył się we wrześniu, gdy został rozbity pierwszy botnet Hlux/Kelihos. Jego powtórka miała miejsce w marcu.

Na nową, trzecią wersję botnetu, zwaną Kelihos.C, trafiliśmy kilka dni po rozpoczęciu operacji leja. Najwyraźniej botmasterzy bali się, że ich botnet może zostać w każdej chwili zneutralizowany i wprowadzili plan B. Zaobserwowaliśmy, że w botnecie Kelihos.C zostały zmodyfikowane klucze RSA, tak jak w przypadku botnetu Kelihos.B. Klucze RSA zostały użyte do zaszyfrowania pewnych struktur w wiadomościach.

Ponieważ właściciele botnetu natychmiast opublikowali kolejną aktualizację bota, niektórzy eksperci są sceptyczni odnośnie skuteczności odsysania (sinkholing) jako metody neutralizowania botnetów. Nadal uważamy, że stosowanie tej metody może znacznie utrudnić życie cyberprzestępcom poprzez skierowanie ich zasobów na rozprzestrzenianie nowego bota oraz infekowanie nowych komputerów. Tak długo jak nowe wersje bota nie wprowadzą poważniejszych zmian do swojej architektury i protokołu komunikacji, gra w kotka i myszkę nie skończy się. Jednak pełne zwycięstwo nad botnetem zapewni jedynie aresztowanie osób odpowiedzialnych za niego osób.

Atak na ZeuSa oraz jego hosty

W połowie marca Microsoft połączył siły z organizacją zajmującą się obsługą e-płatności NACHA oraz FS-ISAC, organizacją pozarządową reprezentującą interesy członków amerykańskiej branży finansowej, w celu przeprowadzenia kolejnego ataku na administratorów botnetu. Atak został określony jako “operation b71”. Na podstawie zgody wydanej przez sądy przejęto wiele serwerów – centrów kontroli najaktywniejszych i największych botnetów opartych na ZeuSie.

Microsoft próbował również zidentyfikować osoby biorące udział w tworzeniu i dystrybucji ZeuSa i innych podobnych trojanów, takich jak SpyEye oraz Ice-IX (ten ostatni opierał się na kodzie źródłowym ZeuSa, który wcześniej wyciekł do internetu).

Microsoft wniósł pozew przeciwko 39 anonimowym osobom zamieszanym w tworzenie szkodliwego kodu oraz opartych na nim botnetów. Miejmy nadzieję, że inicjatywa ta zyska poparcie amerykańskich organów ścigania i, przy międzynarodowej współpracy, więcej cyberprzestępców zostanie postawionych przed sądem.

Są to jedyne działania, które mogą pomóc zneutralizować trojany bankowe – według szacunków firmy Microsoft, całkowite szkody spowodowane przez ZeuSa, SpyEye’a i Ice-IX już teraz wynoszą około pół miliarda dolarów.

Aresztowanie cyberprzestępców stojących za Carberp

Rosyjskie organy ścigania, wraz z grupą analityczną Group-IB, zakończyły dochodzenie w sprawie działań przestępczych grupy, która kradła pieniądze przy użyciu niesławnego trojana bankowego Carberp. Według działu prasowego rosyjskiego Departamentu K, specjalistycznej jednostki do zwalczania przestępczości hi-tech, grupa ta liczyła osiem osób. Klienci kilkudziesięciu rosyjskich banków padli ofiarą cyberprzestępców, którzy zdołali ukraść około 60 milionów rubli (około 2 miliony dolarów). Na szczęście, w wyniku dochodzenia cyberprzestępcy zostali aresztowani.