Ботнеты атакуют

Продолжение. Начало в КГ №21

2. Ботмастер

Вспомним относительно свежее уголовное дело против Дженсона Джеймса Анчеты, молодого хакера из города Дауни, Калифорния. В январе он был признан виновным районным судом Лос Анджелеса в создании и продаже ботнетов которые насчитывали тысячи компьютеров, использовании их для получения выгоды, а также в незаконных целях. Из материалов обвинения стало известно, что ему удалось заработать более 60,000 долларов и заразить не менее 400,000 компьютеров, некоторые из них находились в ведении Министерства Обороны США. Также он использовал контролируемые им ботнеты для заражения новых компьютеров, атак на крупные компьютерные сети. Среди потенциальных целей его атак были электронный гигант Sanyo и крупная кредитная компания TransUnion, сервера которой хранят около терабайта важнейшей финансовой информации.

Одна из причин столь широкого и угрожающего распространения ботнетов состоит в том, что хакерам даже не нужно заниматься творчеством, создавать новые вредоносные программы, ведь набор молодого хакера "bot toolkit" можно бесплатно скачать из интернета или купить доступ к управлению готовым ботнетом. Анчета даже создал специальный IRC канал "botz4sale", на котором публиковал свой прайс-лист. В предложениях на продажу мелькали сети, насчитывавшие до 10,000 компьютеров, и если один послушный хакеру взломанный компьютер мог быть оценен всего в 4 цента, то вся сеть могла уйти за 400 долларов. Но бот боту рознь, одни стоят дешевле, другие дороже. Один инфицированный компьютер, входящий в локальную сеть правительственного учреждения, мог продаваться, например, за 40 долларов, так как через него можно получить доступ к очень важной и ценной информации. Фактором повышения цены для ботов служила и версия вредоносного программного обеспечения, если в атаке использовались самые свежие, мало известные уязвимости, такой бот мог стоить дороже. Правоохранительными органами было зафиксировано более 30 сделок по продаже ботнетов Анчеты на общую сумму более 3000$.
Как только программа-бот Анчеты попадала на компьютер, она давала ему задание на установку связи с определенным IRC каналом, который был специально открыт специально для управления зомби-машинами по сети. Пароль доступа к этому каналу был зашит в самом коде программы. Все компьютеры, подключившиеся к IRC каналу, становятся виртуальной собственностью ботмастера. Он не может дотянуться до их клавиатуры, но это не мешает ему управлять своей армией. Через канал IRC Анчета отправлял команды управления зомби, например приказ открыть определенный порт и начать рассылать спам или продолжать сканировать компьютеры локальной сети на наличие определенных уязвимостей. Постоянно, без малейшего перерыва, от нескольких десятков до нескольких тысяч компьютеров ожидали новых команд и исправно выполняли их.

Анчета использовал свои ботнеты в сугубо корыстных целях. Он продавал зомби-сети тем, кто нуждался в значительных компьютерных и сетевых ресурсах для рассылки спама, организации DoS атак (denial-of-service) на различные серверы и веб-сайты. С каждой сделки он получал по несколько сотен долларов. Свой "товар" Анчета поставлял, как и полагается, с полным набором консультаций и сервисной поддержки.

Наиболее прибыльным для Анчеты стал обман онлайновых рекламных компаний. Эти компании выпускают специальное программное обеспечение для рекламы различных товаров и услуг, так называемое Adware, и выплачивают комиссионные своим партнерам за каждую установку своего продукта на пользовательские компьютеры. Такая программа способна контролировать сетевую активность пользователя, запоминать слова и фразы, которые он вводит с клавиатуры (например, при вводе поисковых запросов на Google и Yahoo) и, основываясь на определенном круге интересов конкретного человека, демонстрировать ту или иную рекламу при помощи всплывающих окон или самооткрывающихся сайтов. Рекламные окошки могут появляться на экране без вмешательства владельца компьютера и вне зависимости от его желания. Но для легальной установки adware-программы необходимо непосредственное участие и согласие пользователя на эту установку. Честные партнеры рекламных компаний просто добавляют рекламное ПО в качестве бесплатного приложения к комплектам другого программного обеспечения, например играм или прикладным программам. Передача и установка программы происходит явно, с ведома и при активном участии пользователя. Но когда в игру вступает ботмастер, все происходит по другому сценарию, он дает приказ своей зомби-команде на установку Adware программы на все доступные компьютеры. За каждую успешную установку он получает от 20 до 70 центов, учитывая масштабы и возможности ботнетов, автоматическое расселение программного обеспечения на тысячи и даже десятки тысяч компьютеров происходит очень быстро, гарантируя легкую и быструю прибыль в сотни и тысячи долларов. Ботмастера не волнует, что кибер-армия может забить некоторые компьютеры левым софтом до такой степени, что они просто не смогут нормально функционировать, его заботит только прибыль. Анчета вел свой бизнес по распространению adware с двумя компаниями, LoudCash (из городка Бельвью, штат Вашингтон) и GammaCash Entertainment (Монреаль, Канада).

При обыске дома Анчеты в руки следователей попали корешки банковских чеков, данные банковских операций и история денежных переводов платежной системы PayPal, из которых следовало, что Анчета и его сообщник, некто под кличкой SoBe, сумели получить в течение одного года на распространении рекламного ПО сумму в $58,357.86.
Среди материалов уголовного дела подшиты и протоколы общения Анчеты и SoBe через службу AOL Instant Messenger, в которых Анчета вот так характеризует свое отношение к заработку на распространении adware: "Это так же легко как отрезать ломтик сыра". Но поток наличности во многом зависел от поддержания в боевом порядке и расширения ботнетов.

Дженсон Джеймс Анчета был трудным ребенком, его исключили из школы в 2001 году и дальнейшее обучение он проходил с группой ребят, имеющих проблемы с успеваемостью и поведением, но документ о среднем образовании все-таки получил. Он работал в интернет кафе, даже проявлял некоторый интерес к службе в вооруженных силах США и собирался пополнить ряды резервистов. По словам родственников Дженсон был компьютерщиком — самоучкой, за свою жизнь он сам не написал ни одной программы. Из материалов дела следует, что он просто модифицировал достаточно известный среди хакеров и легко доступный в сети интернет программный код Rxbot. Таким же образом поступает большинство начинающих ботмастеров, слегка дорабатывая известные и открытые исходники до своих нужд.

В 6 часов утра, 10 декабря 2004 года, десять вооруженных агентов ФБР окружили маленький домик в городке Дауни (штат Калифорния), в котором жил и из которого действовал Анчета. Аккуратный, ухоженный дворик, один из самых красивых на этой улице, занавески на окне, чайный прибор на подоконнике. Ордер на обыск был на руках, но агенты всегда готовы к любым сюрпризам, которые могут ожидать их внутри, они выполняли стандартную и привычную для них процедуру.

Сопротивления никто не оказал, когда агенты ФБР постучали в дверь Анчеты, дома находились он сам, его семилетняя сестра, которая как раз собиралась в школу и мать. Сам Анчета не проявил ни паники, ни беспокойства, он сразу выразил готовность помогать следствию и признал, что действительно занимался продажей ботнетов. Агенты ФБР конфисковали компьютеры и другие предметы, связанные с его деятельностью. Анчету не стали арестовывать, его только предупредили о незаконности и недопустимости его действий. Как послушный ребенок, тот сказал, что больше не будет. Ограничившись внушением, агенты ушли, но дали понять, что они продолжают сбор улик и доказательств по этому делу и следующая встреча Анчеты с правоохранительными органами может состояться в суде в присутствии адвоката.

В течение четырех месяцев, пока ФБР собирало улики и доказательства по делу Анчеты, чтобы выписать ордер на обыск, армии его зомби атаковали и поражали тысячи и тысячи новых компьютеров. Про бизнес в сфере рекламного ПО агенты ФБР даже еще не знали, хотя за пять недель с 1 ноября по 7 декабря, ботнеты установили adware на 35,719 компьютеров без ведома их владельцев. 31 августа один из агентов ФБР купил у Анчеты ботнет из 2000 компьютеров. Он успешно выдал себя за покупателя, которому понадобились мощности для атаки на сайт конкурента и Анчета заверил потенциального клиента, что его подопечные успешно справятся с поставленной задачей. Продавец и покупатель вели переговоры через AOL Instant Messenger в течение всего августа, причем агент играл роль сразу трех покупателей и обсуждал особенности и тактико-технические параметры криминального товара для массовой рассылки спама и DoS атак. Когда агент дал согласие на покупку и перевел деньги на указанный счет в платежной системе PayPal, он получил необходимые файлы и доступ к IRC каналу, на котором Анчета собирал своих зомби-солдат. Все действия тщательно протоколировались, ФБР даже снимало на видео экран монитора, фиксируя переговоры о продаже ботнета и все, что происходило на канале IRC. Был записан даже голос Анчеты во время телефонного разговора с агентом. Вся сетевая активность ботмастера также была подшита к делу в виде лог файлов, полученных от интернет провайдеров. Была установлена однозначная связь между конкретным абонентом сети, с его адресом и фамилией и тем, чем он занимался в интернете.

Только после обследования конфискованных компьютеров Анчеты правоохранительным органам стало известно, что он использовал ботнеты для установки adware. Примерно в это же время ФБР получило рапорт от военно-морской базы в городке Чайна Лейк, в котором говорилось, что ее локальная сеть подверглась бот атаке. Агенты сравнили данные, полученные с компьютера Анчеты с информацией от военных следователей и обнаружили, что версии вредоносных программ и IP адреса совпадают. Не прошло и месяца после визита ФБР, как Анчета взялся за старое. Возможно, он не прислушался к предостережениям и занялся привычным бизнесом потому, что не мог отказаться от такого легкого и доступного источника денег. Он купил себе автомобиль BMW 325is, 1993 года выпуска, заплатив за него 6,000$ наличными и собирался заняться скромным тюнингом этой машины, на который требовалось еще 7,000$.
В любом случае, 9 января 2005 года он снова задал работенку агентам ФБР. Ботнетом были атакованы компьютеры Северо-западной больницы Сиэттла и хотя этот ботнет не принадлежал Анчете, но для поражения использовалась знакомая уязвимость в LSASS, что и в атаке на сеть Аубурнского университета четырьмя месяцами ранее. Перед федеральным судом Сиэттла по этому делу предстал 20-летний Кристофер Максвелл, но после первичного судебного разбирательства он был признан невиновным. Но в этот же день зомби сеть Анчеты произвела атаку на еще одно армейское учреждение DISA (Агентство Защиты Информационных Систем) в Арлингтоне. Многие компьютеры были инфицированы, затем вышли на связь с хозяином по каналам IRC и получили команду на установку рекламного ПО и выполнение других нелегальных задач. К этому времени ФБР уже сфокусировало свои усилия на деятельности ботнетов и дни Анчеты на свободе были сочтены, несмотря на то, что он предпринимал все возможное, чтобы замести свои следы.
В течение еще четырех с половиной месяцев ФБР собирало и анализировало доказательства, недостатка в которых не наблюдалось. Например, после декомпиляции одного из программных творений Анчеты был обнаружен партнерский идентификатор GammaCash. Это компания, выпускающая рекламное ПО, расположенная в Квебеке. Идентификатор совпадал с учетной записью Анчеты в системе GammaCash и присутствовал на чеке, выданном ему этой компанией на сумму в 2,352.66$, который был конфискован при обыске. Каждый раз когда один из ботнетов Анчеты заражал новый компьютер и устанавливал на него программу adware, на счет Анчеты переводилась небольшая сумма в несколько центов.
В четверг, 26 мая 2005 года, в 6 часов утра сотрудники ФБР снова появились на пороге дома Анчеты в Дауни. Одновременно они постучались в двери его сообщника по кличке SoBe в городке Бока Ратон, а также в офис компании Sago Networks, интернет провайдера из города Тампа, с серверов которого производилась атака Анчеты на сеть Министерства Обороны. Из всех трех мест были конфискованы компьютеры. Провайдер Sago Networks со своей стороны оказал всестороннее содействие и помощь в проведении расследования.

После второго обыска и конфискации компьютеров у Анчеты и его сообщников, правоохранительные органы рассчитывали, что надолго вывели из игры этих операторов нелегальной сетевой активности, но тем не менее, чеки от некоторых компаний за распространение рекламного ПО продолжали поступать на адрес Анчеты до августа. А арестовали его только 3 ноября.

Утром 23 января 2006 года Анчету привезли в здание Федерального Суда Лос Анджелеса. Он был одет в мешковатую тюремную робу зеленого цвета, так как все это время, с момента ареста, содержался в следственном изоляторе. У Анчеты есть родственники на Филлиппинах и следствие опасалось, что он может попытаться скрыться от правосудия там. Средний возраст заключенных, которые содержались вместе с ним, составлял 37 лет, причем это были серьезные соседи, арестованные за убийства или распространение наркотиков. Анчете были выдвинуты обвинения в двух случаях мошенничества и двух преступлениях с использованием компьютеров, включая атаку на базу в Чайна Лейк и грозило до 25 лет лишения свободы. Заслушав обвинительный протокол судьи, Анчета вернулся в изолятор, где ему предстояло до мая месяца ожидать окончательного слушания своего дела. Время уговоров и вежливых предупреждений прошло, его сменил период жесткой мебели и решетчатых окон, когда круг общения ограничивается адвокатом и редкими визитами родственников. 4 мая 2006 года Дженсон Джеймс Анчета был приговорен к 57 месяцам лишения свободы.

Екатерина Грень


Компьютерная газета. Статья была опубликована в номере 22 за 2006 год в рубрике безопасность

©1997-2024 Компьютерная газета