Схема работы российской вредоносной программы, заразившей 500,000 компьютеров

09.10.2014 | 13:22 Аналитика

За преступной группой продолжают следить, но антивирусы бессильны

На пике своего развития, вредоносная программа получила контроль над полумиллионом компьютеров, использовала слежение за клавиатурой для сбора банковских паролей, а затем добавляла компьютеры для работы в ботнете. Медленно разрастаясь, и оставаясь на шаг впереди антивирусного программного обеспечения, группа смогла остаться незамеченной в течение нескольких лет — до тех пор, пока упущение в ее собственной безопасности не позволило исследователю безопасности Proofpoint по имени Уэйн Хуанг, получить взгляд на организацию изнутри.

Хуанг опубликовал отчет о своих выводах, продемонстрировав редкую информацию об анатомии вредоносных операций — от первого прорыва безопасности до мошеннической тактики, которая обеспечивает поступление денег. Это не роман или какая-то сложная схема (по стандартам ботнетов, полмиллиона компьютеров – это минимальное количество в высшей лиге), но публикация демонстрирует сложные тактики, которые используют эти группы, чтобы оставаться в тени. Для любого, кто наблюдает странное поведение веб-сайта или консоли, это напоминание, что реальные инфекции часто гораздо труднее найти, чем вы думаете. «Они не делают массовых инъекций. Они не делают огромных кампаний, чтобы не попадать в поле зрения», говорит Хуанг. «Но как только они проникли, они строят очень мощный бэкдор».

Цепь атаки, описанная Хуангом

Первым шагом мошенников является покупка паролей на черном рынке в Интернете. Они платят за данные более ранних взломов. Это дает им возможность закрепиться на первой партии сайтов, где группа может установить свою пользовательскую оболочку, предоставляя им права доступа суперадминистратора ко всему на сайтах, при этом, позволяя владельцам сайта обновлять его, как обычно. Когда система уже работала, владельцы сайтов не чувствовали разницу. У них все еще были права администратора, и не было никаких очевидных признаков, что был добавлен другой, более мощный администратор. В то время как владельцы сайтов, как обычно, продолжали размещать информацию, нападавшие использовали новый бэкдор, чтобы заразить читателей сайта, с помощью инъекций вредоносных программ в код сайта. Затем злоумышленники начинают контролировать нажатия клавиш для получения банковской регистрационной информации, которая будет использоваться для прямого мошенничества, и продавать доступ к сети захваченных компьютеров любому, кто хочет замаскировать свой веб-трафик через маршрутизацию чужих интернет-соединений.

Большинство зараженных сайтов регулярно проходили антивирусную проверку, но нападавшие были осторожны и использовать только те эксплойты, которые не вызывали никаких подозрений. Прежде, чем они загружали какой-либо код, они проверяли его в базе данных Scan4U, которая собирает данные из десятков антивирусных компаний. Если база данных опознавала эксплойт группы, они изменяли код, пока он не становился незаметным, гарантируя, что они всегда на шаг впереди антивирусных обновлений.

Они также приняли меры, чтобы сбить со следа исследователей, вроде Хуанга. Если посетитель сайта был похож на автоматизированной сканер вредоносных программ, система распределения трафика будет изолировать данного посетителя и переправит его на чистую версию сайта, показывая, что все работает правильно. Система также хранит список IP-адресов, используемых исследовательскими фирмами безопасности, и любой трафик с этих адресов также перенаправляется в чистое место. В результате, многие владельцы сайтов отказались поверить Хуангу, что их сайты были заражены. Антивирусная проверка ничего не показывала, а большинство независимых исследователей видели совершенно чистый сайт.

Однако, несмотря на то, что защита безопасности хакеров была хороша, она не была совершенна. Хуанг нашел брешь, когда обнаружил веб-адрес панели управления нападавших. Они не подумали защитить паролем панель управления, поэтому, как только Хуанг нашел ее, он получил вид изнутри на все, что группа делала, в том числе на контрмеры, которые они использовали, чтобы сбить других исследователей со следа. В конце концов, группа добавила пароль, чтобы избавиться от Хуанга, но к тому времени было уже слишком поздно.

Скриншот панели управления атакующих

После того, как нападавшие начинали ориентироваться на отдельных пользователей, они полагались на предварительно приобретенные комплекты эксплойтов, начиная с популярного комплекта Blackhole, до более поздних наборов, как Sweet Orange и Phoenix. Они использовали массив уязвимостей, ориентируясь в качестве целей на PDF-плагины, Java, Flash и Internet Explorer, в зависимости от уникальных уязвимостей пользователя — но группа оставляла почти всю эту работу другим, покупая эксплойты, как только они становились доступны и отказываясь от них, как только патчи становились более распространенными.

Тем не менее, даже со всеми подробностями, полученными Хуангом о группе, вряд ли они будут привлечены к ответственности в ближайшее время. Еще много работы осталось сделать для отслеживания сети, ведущей к отдельным людям, и неясно, кто захочет вмешаться и сделать это. Отключение ботнета является заведомо долгим процессом, и в то время, как российские правоохранительные органы совершили несколько крупных арестов в последние годы, они могут быть не заинтересованы преступниками такого размера. Самое большое, на что может надеяться Хуанг, это немного больше внимания в следующий раз, когда он найдет инфицированный сайт. «Мы получаем много сообщений от расстроенных администраторов сайтов, которые считают, что мы ложно обвинил их в наличии инфекции», говорит Хуанг. «Таким образом, мы надеемся, что эти люди прочтут этот отчет».

В более широком смысле, это признак того, насколько далеко еще предстоит пройти веб-безопасности. Исследователи уделяют большое внимание таким уязвимостям, как Heartbleed, которые дают злоумышленникам первоначальный плацдарм, и уязвимостям в популярном программном обеспечении, которые позволяют эксплуатировать отдельных пользователей. Но о затяжных инфекциях, как эта, часто забывают. В результате, как только злоумышленник создает бэкдор в сервере или сайте, для легального владельца могут потребоваться годы, чтобы восстановить контроль. Для полумиллиона компьютеров, описанных в отчете, это тревожная мысль.