"Dzięki wykorzystaniu do komunikowania się z botnetami klasycznych technologii telefonicznych przestępcy mogą skutecznie ukrywać się przed wymiarem sprawiedliwości - przekazywanie komputerom-zombie komend za pośrednictwem VoIP i sygnalizacji tonowej sprawia, że pozostają w 100% anonimowi. Wystarczy, że będą używać np. publicznych automatów telefonicznych lub odpowiednio często zmienianych kart pre-paid" - tłumaczyli podczas swojego występienia Itzik Kotler oraz Iftach Ian Amit, specjaliści z zajmującej się bezpieczeństwem informatycznym firmy Security Art.

Korzystanie z VoIP i DTMF ma dla przestępców dodatkową, niezmiernie istotną zaletę - skoro operator botnetu nie potrzebuje do zarządzania nim klasycznego serwera C&C (command and control), to zlikwidowanie takiej sieci zombiePC jest niezmiernie trudne (ponieważ standardową metodą zwalczania botnetów jest właśnie odcięcie zarażonych komputerów od C&C).

Z analiz specjalistów z Security Art wynika, że przestępcy mogą sterować swoim botnetem bez konieczności korzystania z Internetu - wszystkie polecenia mogą być przekazywane za pomocą komend tonowych i VoIP. Co więcej - korzystając z tego rozwiązania można bez problemu penetrować firmowe firewalle i skutecznie ukrywać złośliwy ruch przed standardowymi narzędziami do monitorowania danych (w tym również systemami DLP - Data Loss Prevention).

Oczywiście, takie rozwiązanie ma również pewne wady - okazuje się, że za pomocą VoIP czy DTMF można przekazywać jedynie mniej skomplikowane komendy i to do ograniczonej liczby komputerów-zombie. Ale eksperymenty przeprowadzone przez Kotlera i Amita pokazują, że zwykle i tak wystarczy to do skutecznego zarządzania i sterowania botnetem.

Podczas prezentacji na Defcon specjaliści pokazali działanie takiego systemu. Open-source'owy PBX Asterisk pełnił funkcję standardowego korporacyjnego PBX. Kotler i Amit wdzwonili się do niego z zewnątrz ze smartfona BlackBerry - w tym samym czasie wewnętrzne połączenie z PBX nawiązała maszyna udająca zainfekowany botwormem komputer firmowy. Następnie nawiązano połączenie konferencyjne między "komputerem-zombie" a Blackberry - wykorzystano do tego program Moshi Moshi, który wyposażono jest m.in. w translator komend przekazywanych za pomocą sygnałów tonowych.

Oczywiście, całe przedsięwzięcie jest dość skomplikowane (wymaga m.in. takiego skonfigurowania PBX, by możliwe było przekazywanie sygnałów DTMF w ramach połączenie konferencyjnego) - ale specjaliści Security Art dowiedli, że jest to możliwe do przeprowadzenia. Co więcej - podkreślają oni, że ich celem było jedynie zaprezentowanie potencjalnego zagrożenia i że gdyby mieli na to więcej czasu, to z pewnością byliby w stanie znacząco udoskonalić cały proces.

Zalecanym przez nich zabezpieczeniem jest pełne odseparowanie połączeń VoIP od ruchu internetowego w firmie, a także stałe monitorowanie VoIP pod kątem niestandardowych wydarzeń (np. niespodziewanego inicjowania połączeń konferencyjnych, szczególnie po godzinach pracy). Co więcej - administratorzy powinni pomyśleć o stworzeniu zamkniętej listy adresów IP, z których możliwe jest inicjowanie telekonferencji.