Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

С точки зрения отдельного заливщика, подобный вариант работы с ботнетом представляется оптимальным. Однако он менее интересен ботнетчику, так как контроль за работой заливщика с отдельными зараженными компьютерами затруднен по объективным техническим причинам и, соответственно, не может быть проверен объем совершаемых хищений. Если ботнетчик начинает подозревать заливщика-партнера в утаивании денежных средств либо в проведении непредусмотренных операций с ботами, он может лишить заливщика доступа. В то же время и сам ботнетчик может совершать в отношении заливщика-партнера нечестные действия, например тайно работать с его ботами для совершения хищений, забирать ботов в другие ботнеты, собирать и продавать без участия заливщиков получаемую с ботов информацию (аккаунты социальных сетей, почтовых программ, реквизиты доступа к FTP и др.). В результате работа по партнерской схеме часто становится для заливщиков и ботнетчиков источником постоянных взаимных подозрений и конфликтов, а их отношения оказываются менее устойчивыми, чем в преступных группах постоянного состава.

Продолжим рассматривать процесс организации преступной деятельности. Когда организатором (или организаторами) приобретена вредоносная программа, оплачен абузоустойчивый хостинг и налажен центр управления ботнетом, начинается этап распространения вредоносной программы и систематической работы с ботами. Для распространения необходимы трафик и связки эксплойтов. И то и другое поставляют специализирующиеся на этом участники криминального рынка товаров, о чем было сказано в предыдущей главе.

Стоимость трафика зависит, как уже было отмечено, от его тематики и различных показателей качества. Так называемый мусорный трафик стоит от $5 до 20 за 1000 единиц, а профильный банковский и коммерческий трафик может стоить гораздо больше: вплоть до $150–200 за 1000 единиц. Аренда связки эксплойтов с полноценной технической поддержкой, а также регулярной сменой доменных имен обходится в среднем в $500-3000 в месяц.

После того как оплачена связка, налажено поступление трафика и вредоносная программа начинает «прогружаться», в интерфейсе центра управления ботнетом появляются боты. Благополучно установившаяся на целевом компьютере или устройстве программа передает на командный сервер по сети первое сообщение, в котором содержатся сведения о зараженном устройстве. В дальнейшем бот постоянно передает подобные сообщения, называемые на жаргоне отстуком. Регулярно отстукивающиеся боты называют живыми. В интерфейсе центров управления ботнетами боты обычно представляются в виде списков, по которым можно производить выборки и поиск. Для каждого отдельного бота ведется накопление данных, необходимых для работы с ним и совершения хищений.

Количество поступающих ботов зависит от количества отгружаемого на связку трафика, процента пробива связки эксплойтов и, наконец, от качества самой троянской программы и текущего уровня ее выявления антивирусными программами. Дальнейшее время жизни ботов зависит также от ряда факторов: эффективности антивирусных программ, действий владельца компьютера и др.

Очевидно, что далеко не каждый зараженный вредоносной программой компьютер или мобильное устройство используется для работы с ЭСП, тем более именно тех систем, для которых предназначен установленный банковский троян. Задача трояна – найти ЭСП (программы типа «толстый клиент», агентские приложения для приема платежей или работы в системах переводов и т. п.), отследить факты обращений к платежным веб-сайтам, найти на компьютере или устройстве следы таких обращений (лог-файлы, ключи, сертификаты и пр.). После того как бот их обнаруживает, он в установленном формате сообщает об этом («отстукивается» определенным образом) в центр управления. На профессиональном жаргоне бот, у которого обнаружились ЭСП или признаки их использования, называется ботом с логами.

Именно бот с логами является главной ценностью. С ним начинает работать заливщик. Объем и характер действий заливщика зависят от типа ЭСП, обнаруженного у бота, наличия на счете денежных средств, возможностей используемой вредоносной программы. В любом случае поступившая от бота информация вначале внимательно изучается. При необходимости боту дается команда на загрузку дополнительных вредоносных программ, модулей или настроек.