FBI zlikwidowała estoński botnet

Proces zamknięcia dużego botnetu wymaga pozyskania twardych dowodów działań przestępczych, by organy ścigania mogły podjąć kroki.

Przedstawiamy kulisy największej w historii amerykańskiej akcji prawnej przeciw zagranicznym cyberprzestępcom.

W Estonii aresztowano sześciu obywateli tego kraju pod zarzutem udziału w zorganizowanej grupie cyberprzestępczej, która zaraziła wirusami co najmniej 4 miliony komputerów w 100 krajach. Operacja wykrycia i aresztowania cyberprzestępców prowadzona przez amerykańskie Federalne Biuro Śledcze (FBI) nosiła nazwę Ghost Click i trwała dwa lata, sam proceder trwał od 2006 r. Aresztowania osób podejrzanych o kierowanie całą strukturą podziemnej sieci dokonały 8 listopada 2011 r. organy ścigania w Estonii.

Podziemna sieć liczyła co najmniej 4 mln przejętych maszyn zwanych botami, z tą siecią współpracowało ponad 100 serwerów w dwóch centrach przetwarzania danych (zlokalizowanych w Nowym Jorku i Chicago). Botnet wymagał skomplikowanej infrastruktury, gdyż nie zajmował się wyłącznie kradzieżą informacji ze stacji roboczych (tak jak to robi popularny ZeuS), ale koncentrował się na zmianach sposobu wyświetlania reklam na przejętych komputerach.

Sercem botnetu było złośliwe oprogramowanie DNS Changer instalowane na przejętych maszynach, które zamiast skonfigurowanego serwera DNS korzystało z zewnętrznych serwerów, obsługiwanych przez operatorów botnetu. Skutkiem takiej operacji była zmiana wyświetlanych w komputerach reklam, przejęcie wyników wyszukiwania i wprowadzanie przekierowań do instalacji innego złośliwego oprogramowania. Oprócz tego wiadomo było, że z ruchem w tym botnecie związane jest także rozsiewanie fałszywych programów antywirusowych i prowadzenie podziemnej sprzedaży wysyłkowej podejrzanych farmaceutyków.

Firma pod lupą

Podczas analizy działań cyberprzestępców specjaliści szukają organizacji, które stoją za atakami i czerpią z nich zyski. Dokładna analiza kodu oraz połączeń sieciowych prowadziła do Estonii. Przedsiębiorstwem, które kontrolowało każdy krok od infekcji aż do realizacji przychodów z sieci przejętych komputerów, była estońska firma Rove Digital. Jest to spółka-matka innych firm, między innymi: Esthost, Estdomains, Cernel, UkrTelegroup. Firma Esthost jako reseller usług hostingowych stała się sławna na jesieni 2008 r., po zamknięciu usług, w tym samym czasie Estdomains, która rejestrowała domeny Rove Digital, utraciła akredytację ICANN. Przyczyną były nielegalne transakcje kartami kredytowymi prowadzone przez jej właściciela. Po zamknięciu hostingu infrastruktura zarządzania botnetu została rozproszona i przeniesiona do różnych centrów przetwarzania danych, między innymi do firmy Pilosoft w Nowym Jorku. Pobieżna analiza treści hostowanej w zasobach Rove Digital wykazała, że znajdują się tam nie tylko centra dystrybucji złośliwego oprogramowania, ale także serwery kontrolujące botnet, hostujące usługę podstawionego DNS i wyzyskujące pieniądze z kliknięć.

Mając takie informacje na temat legalnie zarejestrowanego przedsiębiorstwa Rove Digital, należało zebrać dowody wiążące ją z działaniem botnetu. Nie można było jednak pozyskanych informacji opublikować przed zakończeniem śledztwa.

Rik Ferguson, dyrektor działu badawczego bezpieczeństwa i komunikacji w firmie Trend Micro, mówi: "od pięciu lat domyślaliśmy się, kto stoi za botnetem i złośliwym oprogramowaniem, ale nie chcieliśmy ujawniać niektórych informacji ze względu na dobro śledztwa prowadzonego przez FBI".

Wszystkie drogi prowadzą do Estonii

W 2006 r. analiza sieci związanej ze złośliwym oprogramowaniem DNS Changer doprowadziła do wykrycia serwerów zlokalizowanych w domenie Esthost.com. Adresy FQDN serwerów obsługujących fałszywe DNS (od dns1.esthost.com do dns52.esthost.com, razem 52 adresy) były zapisane na stałe w kodzie wirusa, ponadto serwer aktualizujący wpisy w tych domenach znajdował się pod adresem dns-repos.esthost.com, a serwer hostujący złośliwe oprogramowanie miał adres codecsys.esthost.com. Takie wpisy mogły być umieszczone tylko przez podmioty, które utrzymują daną domenę, chyba że ktoś dokonał włamania i wprowadził nieautoryzowane zmiany w konfiguracji DNS. Porównując to z informacjami o samej firmie, hipoteza ataku hakerskiego była mało prawdopodobna, ale nadal możliwa. Należało zebrać znacznie mocniejsze dowody, które jednoznacznie wskazywałyby na to, że za całym botnetem stoi Rove Digital.

Rik Ferguson wyjaśnia: "Gdy domena esthost.com została zamknięta, serwery zarządzające botnetem zaczęły używać prywatnych domen z sufiksem .intra. Udało nam się pobrać kompletny plik strefy dla domeny .intra z jednego z serwerów Rove Digital znajdujących się w USA. Następnie otrzymaliśmy kopię dwóch dysków z serwerów, skąd pozyskaliśmy klucze SSH, za których pomocą logowali się pracownicy Rove Digital".

Dyski twarde otrzymane w 2009 r. pochodziły z serwerów, które miały za zadanie dostarczać podmienione reklamy na przejętych komputerach. Znalezione tam publiczne klucze SSH pochodziły od pracowników Rove Digital i umożliwiały zalogowanie się do serwerów bez konieczności podawania hasła, a jedynie na podstawie prywatnego klucza. W logach tych serwerów znalazły się zapisy o przychodzących połączeniach, które udowadniały, że serwery były kontrolowane z biura firmy Rove Digital, zlokalizowanego w Tartu, w Estonii.

Kolejnym działaniem, które prowadzono z sieci podejrzanej firmy, była sprzedaż fałszywych programów antywirusowych. Oprócz prawdziwych zakupów zanotowano także kilka transakcji testowych zrealizowanych przez pracowników Rove Digital z adresów IP kontrolowanych przez tę firmę zarówno w Estonii, jak i w USA. Oznacza to, że firma Rove Digital była związana także z tą aktywnością.

Aby utrzymać sieć botów, niezbędna była ciągła aktualizacja oprogramowania i regularne wdrażanie nowych serwerów DNS. Z analizowanego serwera udało się pobrać plan wdrożenia nowych serwerów DNS, których adresy w późniejszym czasie pojawiły się w codziennie aktualizowanym kodzie złośliwego oprogramowania. Udowadnia to, że serwery DNS oraz malware były zarządzane przez tę samą firmę, w tym przypadku Rove Digital.

Po zebraniu dowodów podjęte zostały działania, mające na celu zatrzymanie podejrzanych, rozpoczęto także procedurę ich ekstradycji do USA. Postępowania związane z zatrzymaniem i zabezpieczeniem lokalnych śladów wykonały organy ścigania Estonii we współpracy z amerykańskim FBI.

Jak zebrać dowody z komputera

Aby zebrane informacje miały wartość dowodową, muszą być zebrane w sposób, który zapewni zachowanie standardów. Czasami drobne przeoczenie powoduje utratę wiarygodności dowodu.

Aby materiał był dowodem, musi być: wierny (czyli bez przekłamań), autentyczny (czyli dokładnie ten, który powstał w wyniku zabezpieczenia śladów), obiektywny i kompletny. Procedura pobierania materiału musi zapewniać ponadto powtarzalność. Jeśli stwierdzi się, że na serwerze prawdopodobnie działa oprogramowanie dla celów przestępczych, należy powiadomić organa ścigania i przystąpić do pozyskania śladów. Przedstawiona poniżej lista zasad postępowania jest jedną z najprostszych. Ogólne zasady określa dokument RFC3227 i proponuje:

Współpracować z organami ścigania, zgłaszać incydenty naruszenia bezpieczeństwa.

Usunąć osoby postronne, zapewnić obecność świadka.

Wykonać dokładną dokumentację fotograficzną, opisać wszystkie peryferia, urządzenia i połączenia sieciowe, włącznie z ich stanem.

Zanotować różnicę między zegarem RTC w systemie a czasem GMT. Oznaczyć, z którego zegara pochodzi godzina.

Wykonywać szczegółowe notatki zawierające daty i godziny.

W przypadku konieczności wyboru między analizą i rejestracją, w pierwszej kolejności należy dane zebrać, a dopiero potem analizować.

Dane należy zbierać w odpowiedniej kolejności, najpierw te najbardziej ulotne.

Minimalizować zmiany wprowadzane do systemu podczas zbierania danych. Dotyczy to nie tylko zmian w zawartości, ale także znaczników ostatniego dostępu do pliku lub katalogu.

Zebrać tak dokładny obraz systemu, jak to jest tylko możliwe.

Jeśli korzysta się z narzędzi skryptowych, wynik ich pracy nie może być zapisywany na badanym medium.

Przygotować się do późniejszego opisania wszystkich wykonywanych czynności - notatki bardzo w tym pomogą.

Wykonać dokładną kopię (bit po bicie) nośników danego komputera. Jeśli to możliwe, nie pracować na oryginalnym materiale, ale w bezpieczny sposób na jego kopii, gdyż każdy dostęp modyfikuje znaczniki czasu dostępu do obiektów w systemie plików. Użytecznym narzędziem jest automat kopiujący dyski (taki jak Imagemasster Solo) oraz write blocker (np. Ultrablock), który zapobiega zmianom w kopii.

Wszystkie wykonane kopie cyfrowe muszą być opisane w protokole razem ze skrótami kryptograficznymi zawartości.

Wszystkie procedury powinny być dobrze zaimplementowane, przetestowane i zautomatyzowane tak jak to możliwe.

Program sprzedaży fałszywego antywirusa

Rove Digital prowadził także program pod nazwą Nelicash, związany ze sprzedażą fałszywego oprogramowania antywirusowego i przeznaczony dla swoich partnerów biznesowych. Badaczom udało się pobrać oryginalny schemat infrastruktury związanej ze sprzedażą.

Schemat udowadnia, że proces sprzedaży złośliwego oprogramowania był dobrze dopracowany, stosowano najważniejsze zdobycze nowoczesnej technologii, takie jak wirtualizacja.

Na serwerze oznaczonym jako softmain hostowano maszyny wirtualne związane z samym projektem, w tym host nelicash.com. Hostowano tam 9 maszyn wirtualnych, obsługujących pobieranie plików, dwie maszyny związane z fałszywymi skanerami, strony produktowe, dla partnerów biznesowych oraz obsługę płatności.

Host softpromo1 zawierał jedynie dwie maszyny wirtualne, z których prowadzono pokaz działania skanerów (utrzymywano dla nich dwie domeny luxvirus-scan.com oraz sysfreecheck.com).

Na serwerze codecsoft5 hostowano 8 maszyn wirtualnych obsługujących portal. Przez ten serwer przechodziły wszystkie operacje pobierania plików, raporty instalacji oraz przekierowanie do sprzedaży. Jeśli ten serwer przestałby działać, cała sieć przestaje funkcjonować, zatem prawdopodobnie infrastruktura posiada pojedynczy punkt awarii.

Z kolei maszyna newpartnerproxy obsługiwała wyłącznie program partnerski kierowany do kooperantów, współpracujących przy tym nielegalnym procederze, a serwer billingproxy obsługiwał bramki do płatności, w tym także SMS premium.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200