Chociaż pierwsze sygnały o nowym robaku pochodzą sprzed dwóch lat, dopiero niedawno udało się dokładnie rozpoznać charakter zagrożenia i techniki stosowane przez przestępców przy pracy sieci i oprogramowania. Komputery z systemem Windows (wersje od 2000 do Windows 7 beta) są zarażane przy wykorzystaniu luk w bezpieczeństwie przeglądarki lub któregoś z jej składników. "Najczęściej eksploitowane są luki w bibliotece ActiveX Internet Explorera oraz we wtyczce Adobe Flash. Do zarażenia komputera wystarczy samo wyświetlenie przez podatną przeglądarkę strony zawierającej złośliwy kod" - mówi Joe Stewart, kierownik działu badawczego Counter Threat Unit firmy SecureWorks.

Robak Clampi służy to masowego wykradania danych niezbędnych do zalogowania się do prawie 5000 serwisów internetowych w 70 krajach, przy czym prawie 1500 z nich zidentyfikowano jako serwisy bankowości elektronicznej, strony obsługi płatności online, kasyna i sklepy internetowe, portale brokerskie agencji obrotów papierami wartościowymi, serwisy związane z kredytami, reklamami, a także portale militarne i rządowe. Pojawiają się też pierwsze informacje o kradzieży pieniędzy, które łączą zdarzenia kryminalne z działalnością botnetu. Przykładem może być wyczyszczenie konta bankowego amerykańskiej firmy Slack Auto Parts (skradziono 75 tys. USD).

Tajne centrum dowodzenia

Ze względu na rozmiar botnetu i czas infekcji, przestępcy prawdopodobnie pozyskali więcej danych, niż zdołają przetworzyć na bieżąco. Chociaż cechy te są typowe dla malware tworzącego botnety, ten jest wyjątkowy, ze względu na sposób, w jaki się ukrywa. Aby namierzenie osób go kontrolujących było trudniejsze niż zazwyczaj, do kontroli pracy ukrytej sieci wykorzystywana jest decentralizowana struktura poszczególnych węzłów, a nie zestaw serwerów hostowanych z użyciem zarejestrowanych domen. Właśnie z tego powodu odnalezienie mocodawców powstania takiej sieci będzie niesłychanie trudne.

Badacze z SecureWorks podczas analizy komunikacji z "centrum dowodzenia" odkryli, że do zarządzania stosowane jest szyfrowanie algorytmem Blowfish o długości klucza 448 bitów, klucz ten jest generowany losowo i wymieniany za pomocą algorytmu RSA 2048 bitów. Dzięki przechwyceniu jednorazowego klucza sesji w testowym środowisku i deszyfrowaniu komunikacji, inżynierowie zidentyfikowali część stron WWW, przeciw którym kierowany jest Clampi. Rozpoznanie jednorazowej komunikacji nie oznacza rozpracowania całej struktury tej sieci ani wszystkich sposobów kontroli przejętych komputerów. Jest to jedynie pierwszy krok w tym kierunku.