Читаем Журнал "Компьютерра" №789-790 полностью

И коль скоро большинство специалистов расценивают ботнеты как самую серьезную и трудно искореняемую угрозу для всеобщей кибербезопасности, скоропалительная инициатива китайских властей со своей «Дамбой» выглядит чрезвычайно опасно. Потому что число персональных компьютеров в Китае исчисляется сотнями миллионов, и если все они будут принудительно оснащаться откровенно беззащитной программой, то транснациональные криминальные ботнеты получат на блюдечке готовую платформу воистину гигантских масштабов...

БЫЛ ТВОЙ — СТАЛ МОЙ

В самой идее ботнетов нет ничего ни нового, ни криминального, поскольку по большому счету ботнетом можно называть любую распределенную систему вычислений, Но вот когда с конца 1990-х годов криминальные хакеры начали все активнее использовать средства скрытного дистанционного управле ния машинами, работающие через «черные ходы», обеспечиваемые троянцами и руткитами, ботнеты сетевых преступников стали большущей занозой. Особенно для банков и прочих платежно-финансовых сервисов в онлайне, коль скоро главная цель ботнетов — похищение информации о кредитных картах и других банковских реквизитах, требующихся для доступа к деньгам на счетах. В не меньшей степени страдают от краж и другие учреждения, оперирующие чувствительной персональной информацией граждан, а также, разумеется, и миллионы людей, чьи данные похищаются в преступных целях.

Особую остроту этой проблеме придает то, что современный программный инструментарий для сборки и использования шпионского ботнета совсем не сложен в освоении и доступен злоумышленникам даже с минимальными компьютерными навыками. На подпольных онлайновых рынках такие инструментальные пакеты продаются по цене от нескольких сот до нескольких тысяч долларов, а самые жадные и целеустремленные искатели могут раздобыть их вообще бесплатно.

Ну и поскольку речь идет о криминальном мире, практически с момента появления шпионских ботнетов в Сети обычным делом здесь является «угон» уже развернутого ботнета у хозяина более шустрыми и нахальными конкурентами. Которым, скажем, лень или невтерпеж месяцами дожидаться наращивания количества ботов (зараженных зомби-компьютеров) в системе, а гораздо проще перехватить управление чужим ботнетом.

О тайной жизни ботнетов обычно пишут непрерывно сражающиеся с ними антивирусные компании, а также академические исследователи из университетских лабораторий компьютерной безопасности. Как правило, главными источниками сведений здесь являются коды выявленных ботов, тщательно препарируемые инструментальные наборы-билдеры с черного рынка и искусственно «подсаживаемые» в ботнет компьютеры исследователей, позволяющие наблюдать поведение шпионских программ непосредственно в работе.

В начале нынешнего года команда исследователей из Калифорнийского университета в Санта-Барбаре решила поставить изучение криминальных ботнетов на качественно новый уровень и попытаться «угнать» одну из таких сетей у их владельцев. В качестве объекта был выбран чрезвычайно продвинутый ботнет Torpig, также известный под именами Sinowal или Anserin. Поскольку попытка угона была тщательно подготовлена и прошла весьма успешно — по крайней мере, в начальных фазах, — калифорний-цам удалось узнать массу действительно новых вещей о тайной жизни крупных ботнетов, управляемых из преступного мира. Наиболее существенные из этих открытий изложены в отчете, опубликованном в Сети.

В ЦЕНТРЕ ШПИОНСКОЙ АРМАДЫ

Итоговая статья калифорнийской команды имеет объем около полутора десятков страниц убористым шрифтом и более чем заслуживает полного с нею ознакомления. Здесь же мы вкратце изложим лишь наиболее примечательные моменты исследования (заметим, что угон ботнета Torpig длился десять дней и предоставил ученым огромное количество материалов для анализа). Самой интересной частью отчета, безусловно, является рассказ о том, как исследователям удалось угнать у хозяев столь изощренный ботнет, про который было известно, что он регулярно меняет сетевые адреса своего центра управления (С&С). Сотрудники университетской лаборатории компьютерной безопасности сумели разобраться, каким образом бот в зомби-машине решает, куда ему обращаться за очередными инструкциями. Иными словами — как работает алгоритм вычисления очередного адреса для размещения С&С. В частности, было установлено, что ботнет использовал особую технологию для псевдослучайной генерации адресов, получившую у исследователей название «поток доменов» (domain flux). В соответствии с этим алгоритмом боты Torpig (а также других продвинутых бот-нетов) регулярно, скажем, раз в неделю, обращаются к новым веб-сайтам с разными именами. Этот прием, как легко догадаться, направлен на то, чтобы максимально затруднить охотникам за ботнетом (правоохранительным органам или конкурентам-угонщикам) предугадывание дальнейших ходов системы.