Операция министерства юстиции и ФБР по
закрытию работавшей на
протяжении 7 лет ботсети Coreflood – прецедент того, как такие преступные
сети станут мишенями для правоохранительных органов, а сравнительно старая
модель ботсети сделала метод её демонтажа, использованный федералами, особенно
подходящим.
Представители министерства юстиции объявили на прошлой неделе, что им удалось
перехватить управление ботнетом и 2 миллионами инфицированных машин, и отдать
для ботов команду "стоп" от имени пяти серверов управления, используемых для
рассылки инструкций инфицированным машинам. Правоохранительными органами был
предпринят самый агрессивный способ выведения из строя ботсети за всю историю и
он потребовал множество легальных процедур – таких, как гражданский иск, ордер
на выемку, а также судебный приказ о временном запрещении.
Гражданский иск был подан управлением прокурора США в округе Коннектикут
против 13 неизвестных личностей, которые были обвинены в мошенничестве с
использованием компьютерного оборудования, банковском мошенничестве и незаконном
перехвате электронных сообщений с помощью Coreflood. Эксперты, изучающие
Coreflood, говорят, что от двух до трех главных руководителей ботсети находятся
среди подозреваемых. Федералы также захватили контроль над 29 доменными именами,
используемыми ботсетью, и воспользовались судебным приказом о временном
запрещении для того, чтобы отключить ботов от сети.
Министерство юстиции работало с Internet Systems Consortium (ISC), которые
устанавливают свои собственные серверы-приманки с использованием копии исходного
кода ботсети, полученного исследователями. "Они написали собственную версию
серверного ПО, которое не посылает никаких команд, кроме команды "стоп"", -
говорит Дон Джексон, главный исследователь Counter Threat Unit компании Dell
SecureWorks, чья организация изучала расположенную в России сеть Coreflood
годами и протянула руку помощи министерству юстиции в их деле. И когда боты
пытались связаться с сервером управления и контроля для получения инструкций,
захваченные серверы перехватывали сообщение.
То, что сделало Coreflood такой желанной целью для уничтожения - её
относительный размер и простая структура, а также тот факт, что её серверы были
расположены в США. Операция по закрытию Coreflood была сравнительно небольшой и
проводилась малой группой. "Повезло, что сеть использует доменные имена
достаточно просто, а не так запутанно, как другие ботсети. Это, конечно же,
помогло проведению операции… В первый раз ботсети посылались команды", - говорит
Джексон.
Гюнтер Оллманн, вице-президент по исследованиям Damballa, также думает, что
ботнет "старой школы" было проще вывести из строя. "(Coreflood) не обладает
многими из средств обеспечения безопасности, которыми обладают более современные
ботсети – поэтому в этом случае не было никаких трудностей с отдачей команд для
жертв", - написал Оллман в блоге. "Многие из более популярных ботсетей сегодня
обладают надежными системами управления и аутентификации для того, чтобы
предотвратить использование фальшивых серверов (и серверов
киберпреступников-конкурентов) для подачи несанкционированных команд ботсети,
зарабатывающей её хозяину огромную кучу денег".
Именно потому, что устаревшая ботсеть Coreflood не была "произведением
искусства", федералы не смогут применить свою новую методику для выведения из
строя других, более совершенных ботнетов. "Подход, использованный против
Coreflood, работоспособен только с более старыми ботсетями, для более
продвинутых сетей есть другие подходы", - говорит Оллманн.
Федералы воздержались от отдачи команд ботам на удаление самих себя. "Было
принято сознательное решение не посылать команду на самоуничтожение", - говорит
Джексон из Dell SecureWorks. "Риск состоял в том, что бот при самоуничтожении
мог вызвать проблемы, например "синий экран смерти" или другим неприятности".
Федеральным чиновникам пришлось затратить много усилий для того, чтобы
уверить тех людей, чьи компьютеры были частью ботсети Coreflood, что на них не
распространяется судебный приказ о временном запрещении, применённый при
отключении ботсети и что правоохранительные органы не будут иметь доступа к
информации, хранящийся на их компьютерах.
Зачистку возглавляет компания Microsoft, которая добавила средства
обнаружения Coreflood - Win21/Afcore – в Malicious Software Removal Tool (MSRT).
Инструмент компании Microsoft по борьбе с malware Microsoft Security Essentials
также защищает от таких ботов. У поставщиков Интернет-услуг кроме того есть
список инфицированных IP-адресов, поэтому они могут предупредить конечных
пользователей.
Coreflood хорошо известен обществу исследователей безопасности уже долгие
годы. Джо Стюарт, эксперт по ботсетям в Dell SecureWorks, в 2008 году определил
улучшения в ботнете, которые позволяли ему распространяться подобно червю и тихо
красть сотни тысяч документов у корпоративных пользователей и других крупных
организаций. Известно, что при помощи ботнета хакеры крали деньги со взломанных
банковских счетов.
Джексон из Dell SecureWorks говорит, что он и его коллега Бен Файнштайн в
январе этого года обратились к чиновникам Министерства обороны США на
конференции в Атланте для проведения сравнительно небольшой операции по
отключению ботсети. "Ботсеть была угрозой для компаний", - докладывает Джексон.
"И она существовала около 10 лет – уже давно пора было её уничтожить".
Но эксперты предполагают, что нет никакой гарантии того, что операторы
Coreflood в конечном итоге заплатят за свои преступления – они потенциально
могут легко возобновить свою деятельность, создав другую ботсеть. "Я надеюсь,
что это произойдет. Если они заплатят за свои преступления – это будет просто
невиданно", - говорит Джексон из Dell SecureWorks. "Это беспрецедентный
политический случай и случай сотрудничество частных и государственных
юридических лиц", - говорит он. "Проблема, однако, в том, как русские власти
будут вести дело".
"Coreflood существовала очень долго, поэтому организационные изменения
безусловно вносились, а бизнес-модель для этого вида преступлений постоянно
развивается. Вот почему так важно, чтобы правоохранительные органы действовали
быстро – намного быстрее, чем действуют сейчас. Для этого необходимы тренировки
и ресурсы, и нам это все необходимо именно сейчас", - отмечает Ник Селби,
консультант по вопросам киберпреступлений и сотрудник полиции, который является
одним из основателей блога и подкаста
Police Led
Intelligence.
Между тем, в Министерстве юстиции сказали, что уничтожение ботсети не
искоренило её вирусную часть или распространение новых троянов - другая ботсеть
может быть установлена с использованием новых версий или типов malware.
В целом, эксперты по безопасности одобрили совместные усилия разных сторон в
деле ботнета Coreflood.
"Есть существенные движущие силы в борьбе с ботнетами, и Microsoft Digital
Crimes Unit был рад предоставить техническую информацию, извлеченную из уроков,
которые мы получили в ходе
отключения ботсетей Rustock и
Waledac, чтобы помочь
агентствам в их операции", - отметил Ричард Боскович, старший юрист Microsoft
Digital Crimes Unit.