Manager - КОМПЬЮТЕРРА
СВЕЖИЕ НАБЛЮДЕНИЯ ЗА КРИМИНАЛЬНОЙ СРЕДОЙ ЗОМБИ-СЕТЕЙ
Берд Киви
Благодаря современным инфотехнологиям (и, конечно же, глобализации экономики) люди всего мира стали гораздо сильнее зависеть друг от друга. Но одно дело — рассуждать о подобных идеях абстрактно и совсем другое — испытывать их на собственной шкуре.
Вот, скажем, власти Китая только что издали директиву, регулирующую на первый взгляд их сугубо внутренние китайские дела. А именно: начиная с 1 июля каждый персональный компьютер, продаваемый в этой стране, по высочайшему повелению партии и правительства непременно должен иметь программу цензуры под названием Лю Ба, то есть «Зеленая дамба». Программа, созданная по госзаказу местной компанией Jin Hui, оснащена целым комплексом средств для контроля за интернет-соединениями компьютера. А если говорить без экивоков — для блокирования доступа к «нехорошим» сайтам, к коим правящая партия относит не только порнографические или террористические, но и оппозиционные.
Новые действия авторитарного государства по дальнейшему урезанию свобод своих граждан породили немало протестов со стороны международных правозащитных организаций. А западные компьютерные фирмы, делающие в Китае с его гигантским населением очень большие деньги и углядевшие в данной инициативе угрозу своим доходам, тут же призвали китайские власти пересмотреть столь жесткое решение. Однако самую большую проблему — без преувеличения глобального характера — углядели в этой истории специалисты по компьютерной безопасности.
«Зеленую дамбу», выложенную в Интернете для свободного скачивания (см., например, www.lssw365.net/index.php/List/
index/pid/2), тут же взяли в оборот несколько исследовательских групп — на предмет выявления слабых мест в защите и потенциальных угроз для владельца компьютера. Одной из первых предварительные результаты, достойные публикации, получила команда из Мичиганского университета1. То, что исследователи обнаружили в программе, дало им основания забить во все колокола и настоятельно порекомендовать юзерам, уже инсталлировавшим «Зеленую дамбу», немедленно вычистить ее из компьютера.
По заключению экспертов, серьезнейшие дефекты в защите программы порождены типичными ошибками программистов, плохо разбирающихся в вопросах безопасности. Любой сайт, который посещает владелец машины, может воспользоваться имеющимися в программе дырами, чтобы инфицировать компьютер и поставить его под контроль. Кроме того, исследователи показали, что механизм, с помощью которого «Зеленая дамба» регулярно обновляет «черные списки» сайтов, подлежащих блокированию, позволяет дистанционно внедрять в машину разного рода вредоносные программы.
Иначе говоря, менее чем за двенадцать часов мичиганцы обнаружили в китайской программе целый комплекс дефектов, позволяющих преступникам похищать чувствительные персональные данные пользователей, рассылать спам через зараженный компьютер и даже превращать его в «зомби-машину» и присоединять к ботнету — сети программных роботов, работающих на криминальные структуры без ведома владельцев компьютеров.
И коль скоро большинство специалистов расценивают ботнеты как самую серьезную и трудно искореняемую угрозу для всеобщей кибербезопасности, скоропалительная инициатива китайских властей со своей «Дамбой» выглядит чрезвычайно опасно. Потому что число персональных компьютеров в Китае исчисляется сотнями миллионов, и если все они будут принудительно оснащаться откровенно беззащитной программой, то транснациональные криминальные ботнеты получат на блюдечке готовую платформу воистину гигантских масштабов...
БЫЛ ТВОЙ — СТАЛ МОЙ
В самой идее ботнетов нет ничего ни нового, ни криминального, поскольку по большому счету ботнетом можно называть любую распределенную систему вычислений, Но вот когда с конца 1990-х годов криминальные хакеры начали все активнее использовать средства скрытного дистанционного управле ния машинами, работающие через «черные ходы», обеспечиваемые троянцами и руткитами, ботнеты сетевых преступников стали большущей занозой. Особенно для банков и прочих платежно-финансовых сервисов в онлайне, коль скоро главная цель ботнетов — похищение информации о кредитных картах и других банковских реквизитах, требующихся для доступа к деньгам на счетах. В не меньшей степени страдают от краж и другие учреждения, оперирующие чувствительной персональной информацией граждан, а также, разумеется, и миллионы людей, чьи данные похищаются в преступных целях.
Особую остроту этой проблеме придает то, что современный программный инструментарий для сборки и использования шпионского ботнета совсем не сложен в освоении и доступен злоумышленникам даже с минимальными компьютерными навыками. На подпольных онлайновых рынках такие инструментальные пакеты продаются по цене от нескольких сот до нескольких тысяч долларов, а самые жадные и целеустремленные искатели могут раздобыть их вообще бесплатно.
Ну и поскольку речь идет о криминальном мире, практически с момента появления шпионских ботнетов в Сети обычным делом здесь является «угон» уже развернутого ботнета у хозяина более шустрыми и нахальными конкурентами. Которым, скажем, лень или невтерпеж месяцами дожидаться наращивания количества ботов (зараженных зомби-компьютеров) в системе, а гораздо проще перехватить управление чужим ботнетом.
О тайной жизни ботнетов обычно пишут непрерывно сражающиеся с ними антивирусные компании, а также академические исследователи из университетских лабораторий компьютерной безопасности. Как правило, главными источниками сведений здесь являются коды выявленных ботов, тщательно препарируемые инструментальные наборы-билдеры с черного рынка и искусственно «подсаживаемые» в ботнет компьютеры исследователей, позволяющие наблюдать поведение шпионских программ непосредственно в работе.
В начале нынешнего года команда исследователей из Калифорнийского университета в Санта-Барбаре решила поставить изучение криминальных ботнетов на качественно новый уровень и попытаться «угнать» одну из таких сетей у их владельцев. В качестве объекта был выбран чрезвычайно продвинутый ботнет Torpig, также известный под именами Sinowal или Anserin. Поскольку попытка угона была тщательно подготовлена и прошла весьма успешно — по крайней мере, в начальных фазах, — калифорний-цам удалось узнать массу действительно новых вещей о тайной жизни крупных ботнетов, управляемых из преступного мира. Наиболее существенные из этих открытий изложены в отчете, опубликованном в Сети.
В ЦЕНТРЕ ШПИОНСКОЙ АРМАДЫ
Итоговая статья калифорнийской команды имеет объем около полутора десятков страниц убористым шрифтом и более чем заслуживает полного с нею ознакомления. Здесь же мы вкратце изложим лишь наиболее примечательные моменты исследования (заметим, что угон ботнета Torpig длился десять дней и предоставил ученым огромное количество материалов для анализа). Самой интересной частью отчета, безусловно, является рассказ о том, как исследователям удалось угнать у хозяев столь изощренный ботнет, про который было известно, что он регулярно меняет сетевые адреса своего центра управления (С&С). Сотрудники университетской лаборатории компьютерной безопасности сумели разобраться, каким образом бот в зомби-машине решает, куда ему обращаться за очередными инструкциями. Иными словами — как работает алгоритм вычисления очередного адреса для размещения С&С. В частности, было установлено, что ботнет использовал особую технологию для псевдослучайной генерации адресов, получившую у исследователей название «поток доменов» (domain flux). В соответствии с этим алгоритмом боты Torpig (а также других продвинутых бот-нетов) регулярно, скажем, раз в неделю, обращаются к новым веб-сайтам с разными именами. Этот прием, как легко догадаться, направлен на то, чтобы максимально затруднить охотникам за ботнетом (правоохранительным органам или конкурентам-угонщикам) предугадывание дальнейших ходов системы.
Впрочем, восстановить довольно простой и сугубо детерминированный алгоритм генерации адресов для опытных аналитиков не составило большого труда — достаточно было лишь установить, где именно спрятан его код. После этого уже можно было определить, к каким сайтам боты Torpig станут обращаться в дальнейшем за новыми инструкциями. Говоря упрощенно, Torpig брал за основу «случайного» имени номер текущей недели и год и генерировал блок новых доменных имен, добавляя в конец суффиксы .com, .net и .biz.
Университетская команда заметила, что владельцы ботнета регистрировали нужные домены лишь за несколько недель до наступления соответствующей даты, поэтому «угонщики» немного их опередили, вычислив, к каким именам Torpig вскоре должен обращаться, купили эти имена и разместили на веб-хостах, известных своим безразличием к сигналам о злоупотреблениях арендаторов. Этот трюк позволил команде выдать себя за новый С&С и начать прием всех данных, собираемых ботнетом Torpig, Как только исследователи обнаружили, что их затея удалась, они не мешкая связались с ФБР и Министерством обороны США, посвятили их в суть операции и, грубо говоря прикрыли собственные задницы на случай возможных осложнений.
