Как следует из отчета Honeynet Project, бот-сети –
скопления взломанных компьютеров,
контролируемых злоумышленником или
преступной группой – становятся все более
распространенными и концентрируются на
краже персональной информации и установке
шпионского ПО. Отчет, опубликованный в
понедельник, суммирует находки
исследователей, которые с лета прошлого
года обнаружили более сотни бот-сетей.
Некоторые из них объединяют свыше 50 тыс.
компьютеров. Секьюрити-группа Honeynet Project
занимается установкой тщательно
контролируемых, открытых для внешних атак
систем – так называемых «горшков с медом» (honeypots).
Многие из этих сетей используются для атак
на другие бот-сети, однако часть из них
применяется для сбора конфиденциальной
информации и установки программ adware и spyware,
причем интенсивность этой практики
нарастает, говорит один из главных
составителей отчета Торстен Хольц, студент
отделения вычислительной техники
Технологического университета RWTH в Аахене.
«Наши исследования показывают, что многие
злоумышленники обладают высокой
квалификацией и, возможно, принадлежат к
хорошо организованным преступным
структурам, – пишет Хольц в отчете. –
Очевидно, что даже в неопытных руках бот-сети
являются мощным орудием». В последний год
секьюрити-эксперты уделяют бот-сетям все
больше внимания. Крупные сети из взломанных
компьютеров, которые раньше использовались
главным образом онлайновыми вандалами для
атак друг на друга, теперь становятся
инструментом преступных групп, извлекающих
прибыль из кражи идентификационных данных
или установки adware. Те пользователи, чей
компьютер заражен бот-ПО, рискуют, что их
конфиденциальная информация, такая как
пароли и номера кредитных карт, может
оказаться в руках злоумышленников. По
данным Honeynet, не менее миллиона компьютеров
во всем мире стали невольным пристанищем
для бот-ПО – но это консервативная оценка,
говорится в отчете. Типичный бот, используя
старую систему интернет-чата IRC, может
установить связь для контроля и управления
с 10 тыс. других компьютеров и имеет
модульную архитектуру, которая позволяет
быстро наделять его новыми возможностями. В
отчете описывается также, как
исследователи наблюдают за ботами и
перехватывают связи между ними. Honeynet Project
планирует предложить программы,
разработанные участниками проекта, более
широкому сообществу.
В своем интервью Хольц рассказал, что
исследователи выявили некоторые
интересные области применения
злокачественных сетей. В одном случае бот-программа
обнаруживала, установлена ли на ПК игра Diablo
II. Если да, то программа крала предметы у
принадлежащих игроку персонажей и помещала
их в определенные места в пространстве
онлайновой игры. Затем тот, кто управляет
бот-сетью, может собрать эти предметы и
продать их через аукционный сайт eBay. «Это
сделано очень остроумно и трудно
обнаруживается», – сказал Хольц. Будущие
бот-сети, вероятно, перейдут на
коммуникации peer-to-peer, которые труднее
перехватить и заблокировать. Более того,
существует тенденция, направленная на
уменьшение количества ботов в каждой сети
– эта мера существенно затрудняет
обнаружение группы взломанных компьютеров.
Сеть, состоящую из 3-8 тыс. машин, обнаружить
труднее, чем сеть из 20 тыс. машин, хотя она
столь же разрушительна. «Даже такие мелкие
бот-сети могут причинить большой вред,
особенно если взломанные машины имеют
хороший канал связи с интернетом или
расположены в интересных местах», – сказал
Хольц.