Если бы требования ныне прекратившей своё существование хакерской группы
LulzSec были удовлетворены начинающей компанией Unveillance ранее в этом месяце,
группа могла бы получить контроль над частью инфраструктуры отдачи команд и
осуществления контроля над ботнетом, находящимся в распоряжении фирмы по
обеспечению безопасности.
Боты, деятельность которых была прекращена Unveillance – компьютеры,
зараженные Qakbot, а также определенное число компьютеров, зараженных Mariposa,
которые могли бы послужить, по словам экспертов, сокровищницей и огневой мощью
хакерской группы. Qakbot – троян, который распространяется, как червь и его
целью является кража финансовых данных и помощь в краже денег. Ботсеть была
обнаружена, когда она "набирала обороты", ее действия уже вылились в утечку
персональных данных 250 000 жителей штата Массачусетс.
Карим Хиджази, генеральный директор и президент компании Unveillance, которая
использовала свои собственные серверы для перехвата управления над сетью,
говорит, что его фирма контролирует большую часть инфраструктуры передачи команд
и осуществления контроля Qakbot. "Я считаю, что (LulzSec) хотели использовать её
по ряду причин", - говорит Хиджази. "Мошенничество, кража информации и т.д.".
Кроме того, Unveillance прекратили деятельность некоторых ботов Mariposa, в
получении которых также были заинтересованы LulzSec. Хотя правоохранительные
органы и контролируют серверы Mariposa, по всему миру есть еще много машин,
инфицированных вредоносными ботами. "Мы по-прежнему наблюдаем активность 4
миллионов инфицированных компьютеров, являющихся частью Mariposa, более чем 100
000 уникальных IP-адресов в час", - говорит Хиджази.
LulzSec хотели получить Mariposa для проведения DDoS-атак, говорит Педро
Бустаманте, старший советник по исследованиям Panda Security. "Важно отметить,
что если бы у LulzSec и получилось полностью взломать Unveillance и завладеть
всеми их системами, это бы не помогло им завладеть ботсетью Mariposa. Причина в
том, что DNS-записи контролирующих серверов Mariposa находятся под контролем
правоохранительных органов и перенаправлялись Unveillance только для целей,
связанных с использованием их подставных серверов… мы можем изменить DNS-записи
для основных доменов и направить их куда-нибудь в другое место с целью свести
воздействие любой кражи существующих ботов Mariposa к минимуму", - говорит он.
О заинтересованности LulzSec в ботсетях стало известно в прошлом месяце,
когда Unveillance обнаружила необычный уровень трафика в своей сети. 25 мая
Хиджази заметил, что что-то забавное начало происходить с его электронным
ящиком. "Электронная почта, которую я видел на моем телефоне, отображалась как
уже прочитанная на моём компьютере", хотя он даже не открывал эти письма,
говорит он.
Через несколько минут он стал свидетелем того, как новое письмо, пришедшее на
его электронный ящик, само сменило статус с "непрочитанного" на "прочитанное", а
затем снова на "непрочитанное". "Это было убедительно", - говорит он. Из-за
этого события и небывалого количества трафика, который старался пройти
брандмауэры Unveillance, он понял, что что-то было определенно неладно:
"Наступило время для блокировки," - говорит он.
В предрассветные часы утром Хиджази получил письмо по электронной почте,
которое содержало его пароль, с вопросом - не хочет ли он "поговорить" и подпись
"с любовью, друзья". Он собрал свою команду в 4.30 утра и они начали мозговой
штурм и укрепление систем безопасности.
Позже в ходе переписки с хакерами Хиджази выяснил, что же им было нужно: "они
говорили, что они хотят нашу информацию о ботсетях или они выведут нас из
строя". Среди их требований была информация о Qakbot и контроле над ней: "они
хотели, чтобы я передал им право собственности на домен для проведения
DDoS-атак. Они хотели командовать ботнетом", - говорит Хиджази.
Когда Хиджази отказался, они потребовали денег, но он ответил им, что его
фирма – начинающая и денег у них нет. "В пятницу они сделали доступными
сообщения моей электронной почты и
InfraGard был разрушен".
В то время как Anonymous – от которых в своё время и отделились LulzSec –
известны своим использованием "crowdsource" DDoS с использованием Low Orbit Ion
Cannon (LOIC), группа LulzSec больше опиралась на ботсети с целью разрушения
сайтов, которые являлись их целью.
Между тем Хиджази говорит, что операция AntiSec, возглавляемая Anonymous,
занимается размещением новой школы для тренировки новых хакеров с помощью IRC.
"Согласно новой информации о школе для тренировки хакеров AntiSecPro, они
используют исходный код ZeuS для тренировки новичков – а именно как
компилировать и развёртывать ботсеть ZeuS", - говорит Хиджази.
Помимо тренировки с ZeuS и предоставления исходного кода Zeus 2.0.8.9,
school4lulz
рассказывает о HTTP-инъекциях, уклонении от IDS, SQL-инъекциях, выборе
протоколов передачи команд и осуществления контроля над ботсетями, смягчении
последствий захвата, навыках социальной инженерии, а также путях нахождения
личной информации индивидов в Сети, сообщает Unveillance.
