Groźny botnet w modelu rozproszonym

Na konferencji Black Hat zaprezentowano analizę największego botnetu na świecie, który jest niezwykle trudny do zablokowania, gdyż korzysta z technologii peer to peer.

Od stycznia 2012 r. obserwowano rozwój botnetu, który wywodził się ze starszej wersji ZeuSa i, podobnie jak oryginał, służył do kradzieży informacji dotyczących kont bankowości elektronicznej. W odróżnieniu od klasycznych koni trojańskich, nowe wcielenie złośliwego kodu, nazywanego Gameover ZeuS, buduje sieć peer to peer. Brett Stone-Gross, badacz z Dell SecureWorks, uważa, że "przejście do modelu rozproszonego, w którym wiele węzłów komunikuje się ze sobą w sieci peer to peer, utrudni działanie organom ścigania, gdyż w odróżnieniu od klasycznej sieci serwerów kontrolujących botnet, w takiej sieci nie ma centralnego punktu zarządzającego, który można łatwo wyłączyć".

Badacze z Dell SecureWorks wpadli na trop botnetu, analizując ruch między komputerami ze złośliwym oprogramowaniem. Wstępna analiza sieci wykazała, że składa się ona z 678 tys. przejętych komputerów z systemem Microsoft Windows. Jest to prawdopodobnie największa obecnie sieć utworzona przez złośliwe oprogramowanie. Dochodzenie, które ma wykazać, kto stoi za tym botnetem, prowadzi w kierunku krajów Europy Wschodniej, prawdopodobnie Ukrainy i Rosji. Kod konia trojańskiego nie znajduje się w sprzedaży na żadnej znanej podziemnej giełdzie, nie pojawia się również w ofertach narzędzi dla cyberprzestępców.

Tajna sieć

Kod tej wersji konia trojańskiego pochodzi ze starszej wersji popularnego ZeuSa/Zbota i ma wszystkie najważniejsze opcje przechwytywania informacji ze stacji roboczych, w tym logowanie wciskanych klawiszy, przejmowanie danych w formularzach online, a nawet modyfikację wyglądu i treści wybranych w locie stron www. Dodatkowo został wyposażony w mechanizmy zapewniające podziemnej sieci stabilność. Obsługuje zarówno IPv4, jak i , przy czym komunikacja może odbywać się jednocześnie w obu protokołach.

Twórcy tego konia trojańskiego zabezpieczyli swoje oprogramowanie przed podrobieniem za pomocą podpisów cyfrowych. Ponadto cała konfiguracja oprogramowania jest zaszyfrowana i podpisana. To samo dotyczy niektórych komunikatów wysyłanych przez sieć peer to peer, na przykład komend tworzących serwery pośredniczące HTTP.

226 krajów, 678 tysięcy komputerów

Botnet utworzony przez tę wersję złośliwego oprogramowania obejmuje komputery w 226 krajach. Większość z nich znajduje się w Stanach Zjednoczonych, Niemczech i we Włoszech. Mechanizm kradzieży zakłada automatyczne przekierowanie przelewów bankowości elektronicznej i realizowanie nieautoryzowanych przelewów na konta podstawionych osób, popularnie nazywanych mułami lub słupami. Za tym botnetem stoi gang, który korzysta z innego botnetu Cutwail do masowego wysyłania spamu w wiadomościach udających prawdziwe oferty sprzedawców online, operatorów komórkowych, a także podszywają się pod sieci społecznościowe.


TOP 200