Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

Самостоятельная разработка банковской троянской программы организатором преступной деятельности является редким случаем, так как требует незаурядного таланта, навыков программирования и больших временных и финансовых затрат. Если и встречаются такие «таланты», то ими обычно создаются и лично используются узкоспециализированные вредоносные программы, нацеленные на одну-две определенные системы переводов денежных средств. Как уже было сказано, банковские трояны являются сложными многофункциональными компьютерными программами и разрабатываются квалифицированными программистами, чаще всего объединенными в коллективы. Разработка троянов такими коллективами напоминает работу фирм-разработчиков, создающих легальное программное обеспечение. Они могут обеспечивать покупателям долговременную поддержку, предоставляя регулярные обновления вредоносной программы, услуги по настройке и поддержанию центра управления ботнетом и любые иные сопутствующие услуги.

Чаще всего организаторы преступных групп обращаются к имеющимся на рынке предложениям со стороны вендоров вредоносных программ и приобретают тот или иной комплект. Поставщики могут предоставить заказчику троян в виде скомпилированного и сконфигурированного под его нужды исполняемого файла, готового к распространению, с услугой последующего периодического обновления (для сокрытия от антивирусных программ). Более платежеспособный заказчик получает в свое распоряжение программу-компилятор/конфигуратор, при помощи которой он может самостоятельно «пересобирать» распространяемый исполняемый файл. Троян и сопутствующие компоненты могут стоить от $500 до 50 000 в зависимости от типа трояна, условий продажи и обслуживания.

Организатор, не имеющий достаточных средств для покупки современного банковского трояна, может воспользоваться имеющимися в свободном доступе в интернете исходными кодами троянов типа «Зевс», SpyEye, «Карберп» и др. Компиляторы для этих троянов также доступны. Однако эффективность бесплатных, устаревших и не имеющих технической поддержки программ невелика, так как они гораздо лучше обнаруживаются антивирусными программами и имеют устаревший функционал. Тем не менее, для начального этапа деятельности их использование иногда оказывается единственным возможным вариантом.

Следующий вопрос, подлежащий разрешению при организации преступной деятельности, – создание и настройка центра управления ботнетом. Если приобретается коммерческий троян с поддержкой, решение обычно предлагается поставщиком за дополнительную оплату. На сервере покупателя устанавливается программное обеспечение, настраиваются веб-интерфейс и базы данных. В конфигурации поставляемого трояна прописываются настройки, требуемые для взаимодействия с центром управления. Для старых троянских программ, распространяющихся в сети свободно и бесплатно, также доступны различные скрипты и программы, необходимые для создания центров управления ботнетами.

Хостинг для размещения управляющего сервера организатор обычно должен приобретать самостоятельно – желательно у поставщиков абузоустойчивого хостинга. Стоимость обычно составляет от $200 до 500 и более за аренду одного физического сервера в месяц. В некоторых случаях хостинг предоставляется заказчику поставщиками трояна, опять же за дополнительную плату.

Если квалификации, возможностей или желания для самостоятельного создания и поддержания работоспособности ботнета у организатора преступной деятельности недостаточно, ботнет с уже настроенным центром управления и определенным количеством ботов может быть куплен или взят в аренду. Соответствующие предложения постоянно присутствуют на тематических веб-сайтах. Однако качество передаваемых таким образом готовых ботнетов обычно низкое, в то время как риск обмана со стороны продавцов, наоборот, высок.

Криминальной индустрией была выработана более совершенная схема взаимоотношений участников преступной деятельности. Появились крупные ботнеты, создатели которых приглашают одиночных или организованных в группы заливщиков для работы по так называемой партнерской схеме. Ботнетчик в такой схеме занимается организацией работы центра управления, предоставляя партнерам либо отдельные интерфейсы, либо разграниченный доступ к единому общему интерфейсу центра управления. Каждый партнер получает свой индивидуально сконфигурированный экземпляр вредоносной программы, самостоятельно (или опять же при помощи ботнетчика) занимается ее распространением, а затем уже работает со своими личными ботами. Начинающему партнеру ботнетчик может предложить доступ и к определенному количеству реальных ботов. По такому образцу в 2010–2011 гг. действовал ботнет Origami на основе вредоносной программы, классифицируемой как HodProt. На едином сервере было одновременно запущено более 10 однотипных интерфейсов административных панелей, доступ к которым имели разнообразные заливщики и группы заливщиков. Размер оплаты за пользование ботнетом зависел от объемов совершаемых хищений.