БЕЗОПАСНОСТЬ
Через два года после операции "Firewall" организованная интернет-преступность снова нагло поднимает голову
Кен Данхам - человек, который проводит свою жизнь, рассматривая "внутренности" Интернета. Как директор Группы быстрого реагирования iDefense (Даллес, шт. Виргиния), дочерней компании VeriSign, Данхам и его команда охотников за вредоносными программами, выдавая себя за онлайновых бандитов, проникают на форумы, в чаты и новостные группы "черных" хакеров, чтобы собирать информацию о RootKit-программах, троянах и бот-сетях, создающих растущий вал угроз компьютерной безопасности.
Спустя два года после сообщения спецслужб о крупном успехе операции "Firewall" - тайного расследования, в итоге которого были арестованы 28 подозреваемых, обвиненных в краже личных паролей, компьютерном мошенничестве, использовании чужих кредитных карт и отмывании денег, - исследователи безопасности вновь предупреждают, что интернет-бандиты опять поднимают голову с поистине устрашающей наглостью и прибегают в своей "деятельности" к самым изощренным криминальным приемам.
"Реально, - говорит Данхам, -хакеры никогда не уходили со сцены. Они лишь на несколько месяцев спрятались и усилили контроль за собственной безопасностью".
Один из представителей правоохранительных органов (он попросил не называть его имени), знакомый с текущими расследованиями, показал eWeek изображения страниц активных Web-сайтов, специализирующихся на массовой охоте за номерами кредитных и социальных карт, данных авторизации в торговых сетях PayPal и eBay и банковских системах.
"Черные" хакеры создают сайты своей э-коммерции, на которых идет торговля программами для проникновения в чужие системы, умеющими ускользать от антивирусных и противошпионских сканеров. Исследователи перехватили почтовую рекламу с предложениями по инфицированию компьютеров для их использования в бот-сетях по цене 25 долл. за 10 000 подконтрольных ПК.
"Мы даже можем показать русскоязычные сайты, где имеются перечни очень выгодно оплачиваемых работ, которые предлагаются программистам, умеющим создавать сценарии использования уязвимостей и организовывать DoS-атаки (отказ в обслуживании). Мы знаем о фактах, когда компании нанимают умелых хакеров, чтобы украсть корпоративные данные у своих конкурентов. Дело касается не только кредитных карт и информации о банковских счетах. Налицо все элементы самой настоящей мафиозной преступности", - заявил Джим Мелник, сотрудник команды Данхама.
Роджер Томпсон, один из пионеров компьютерной безопасности, создавший в конце 1980-х гг. первую австралийскую антивирусную компанию, убежден, что за использованием хитроумных RootKit-кодов в троянских программах, рассылаемых с помощью бот-сетей, стоит хорошо укрывшаяся российская мафия. По его словам, "эти люди ответственны за все - за распространение spyware, за вымогательства под угрозой подавления интернет-обслуживания и за многое другое. По существу это традиционная мафия, уяснившая, что на Интернете несложно делать деньги". В настоящее время Томпсон возглавляет лабораторию Exploit Prevention Labs в Атланте.
По словам Юрия Машевского, аналитика по вирусам из "Лаборатории Касперского", сегодня даже есть данные, что этот преступный мир ведет междоусобные войны за сферы влияния. "Они используют зловредные программы, уничтожающие ПО, созданное конкурирующими группами, и содержащие оружие против полиции и правоохранительных ведомств".
Он также видит признаки жесткой онлайновой борьбы за контроль над ресурсами инфицированных компьютеров. В ноябре прошлого года Машевский обнаружил попытку внешнего захвата бот-сети. "За один день сеть инфицированных ПК трижды переходила из рук в руки. Преступники поняли, что гораздо проще завладеть уже зараженными ресурсами, чем взращивать собственные бот-сети", - отметил он. По его словам, на досках объявлений и в группах новостей, где выставляется на продажу зловредный код, "базарные" стычки и атаки с целью захвата виртуальной собственности - обычное явление.
Одним из ключевых аспектов действий Web-банд, которые попадают под наблюдение противостоящих им организаций, - использование "мулов", т. е. лиц, помогающих отмывать деньги или переводить их с ограбленных онлайновых банковских счетов. По данным исследований iDefense, соответствующие "профессиональные" Web-сайты, например Monster.com, практически постоянно предлагают работу "конфиденциального финансового получателя", "менеджера по транспортировке" или "местного представителя" и пытаются активно вербовать людей из разных стран для снятия средств с банковских счетов и доставки денег главарям организованных банд. Деньги переводятся на счет "мула", снимаются наличными, а затем переправляются на офшорный счет.
Данхам упомянул про недавнее обнаружение трояна MetaFisher, также известного под названием SpyAgent, подключенного к командному и контрольному Web-интерфейсу, через который хакеры могли узнавать, насколько продвинулась их атака. "За считанные недели MetaFisher распространился на тысячи компьютеров. Как показал анализ, эти атаки больше года оставались незамеченными. Представьте себе, какая масса данных уже украдена", - сокрушается он.
Эрик Сайтс, вице-президент по исследованиям и разработкам Sunbelt Software (Клиауотер, шт. Флорида), показал eWeek экранные копии Web-интерфейса, отображающего фишинговые атаки на европейские банки. Интерфейс содержит детальную статистику бот-инфекций по всему миру и может добавляться к другим способам атак. Он также умеет отслеживать описания сигнатур в антивирусном ПО и "отзвоны" из инфицированных систем. "Это не работа некоего умельца из подвала. Это рационально организованная и удобная система, обеспечивающая сверхлегкий контроль над управляемыми снарядами-ботами", - уверен Сайтс.
