Сайт "белых" хакеров, разработанный для того, чтобы распознавать вредоносные
домены, подвергся нападению киберпреступников, использующих трояны Zeus и SpyEye
для DDoS-атаки.
Исследователи из FraudAction Research Lab в RSA узнали, как киберпреступники
проводили атаки на швейцарский white hat сайт abuse.ch, который опознает
вредоносных провайдеров и домены, содержащие банковские трояны. Веб-сайт
запустил свой список, отслеживающий SpyEye, в ноябре.
RSA сообщила, что киберпреступники используют новые плагины, разработанные
для последней версии трояна SpyEye. SpyEye, программа которой пользуются
преступники, появилась в конце 2009 года и незамедлительно стала соперничать с
аналогичной программой Zeus. Киберперступники, стоящие за программой
Zeus, либо продали этот
пакет SpyEye, либо пошли на объединение. Сейчас вредоносное ПО на базе обеих
программ используется для заражения компьютеров, кражи данных доступа, общения с
командными серверами и, наконец, выкачивания денег с банковских счетов.
В интервью для SearchSecurity.com Юваль Полевой, старший исследователь в RSA
FraudAction Research Lab, заявил, что он также видел доказательства того, что
код SpyEye и Zeus
объединились. По его словам, последняя версия SpyEye частично содержит коды Zeus,
которые выглядят одинаково. Он также отметил, что SpyEye на данный момент
является более уязвимой, чем Zeus, что делает более легким ее обнаружение и
удаление из зараженной системы.
Полевой сказал, что у плагина для DDoS-атак есть слабые места, которые
снижают его эффективность. "В применении он (плагин) либо не проявляет никакой
гибкости, либо ее слишком мало", - говорит Полевой. "Плагин не проверяет
информацию ввода, и его код защищен далеко не в той степени, в которой защищен
SpyEye в целом", - добавил он.
Полевой заявил, что служба abuse.ch до недавнего времени эффективно
справлялась со своей функцией - предоставлять свободный доступ к информации об
известных командных серверах и IP-адресах Zeus и SpyEye. Списки вредоносных
IP-адресов помогают профессионалам в области компьютерной безопасности,
работающим на крупных провайдеров. Компании создают чёрные списки, закрывая
доступ к вредоносным IP-адресам. Такие меры также помогают CERT-ам и
правоохранительным органам отслеживать незаконную деятельность. Этот сайт помог
закрыть более десятка российских и украинских командных серверов Zeus в январе.
Наряду с попыткой вывести из строя вэб-сайт "этичных хакеров", наводнив его
трафиком, сообразительные мошенники изменили конфигурационные файлы SpyEye,
добавив домены легальных сайтов и поддельные пункты сбора данных для того, чтобы
засорить списки вредоносных IP-адресов.
"В сущности, ботмастеры SpyEye борются с некоммерческим сайтом, который
угрожает самому существованию и эффективности их ботнетов", – говорится в
исследовании, проведенном RSA, которое было опубликовано в среду.
Киберпреступники добавили домен Google, а также домен популярной российской
социальной сети Vkontakte к конфигурационным файлам SpyEye, чтобы вэб-сайт
"этичных хакеров" отнес эти легальные домены к точкам доступа для ботнетов, тем
самым снижая доверие к черному списку IP-адресов.
RSA утверждает, что DDoS-плагин был одним из числа сменных модулей, доступных
в последней версии программы SpyEye. SpyEye включает в себя Software Development
Kit, позволяющий киберпреступникам создавать дополнительные модули. Модуль DDoS
может быть установлен, чтобы поразить как один вэб-сайт, такой как abuse.ch, так
и несколько вэб-сайтов, сообщает RSA.
В электронном письме Пол Викси, президент Internet Systems Consortium и
создатель известного сервера доменных имен BIND заявил, что abuse.ch – это одна
из немногих уважаемых служб, помогающих отслеживать вредоносный трафик.
"abuse.ch – очень уважаемая служба. Однако, для того, чтобы стать целью
подобной атаки она могла быть и менее успешной в деле ограничения доступа
преступников к провайдерам", – сказал Викси. "Таким образом, abuse.ch весьма
компетентна и заслуживает даже более серьезных атак на отказ в обслуживании (DDoS);
и даже странно, почему она не подвергается бóльшим атакам".
Эксперт по вредоносным программам Хосе Назарио, старший менеджер Security
Research в Arbor Networks и член проекта The Honeynet Project, призванного
обнаружить и изучить новые атаки, утверждает, что данные abuse.ch применяются
для внутреннего использования совместно с дополнительными данными, собранными
Arbor. Он заявил, что проект обеспечивает хорошее качество контроля за
предоставляемыми им данными.
"Это должно быть само собой разумеющимся", – сказал Назарио об атаках. "Если
[мошенникам] приходится ее атаковать, то это потому, что она (служба abuse.ch)
ставит крест на усилиях пользователей Zeus".