В последнее время со стороны компаний, занимающихся цифровой безопасностью, стало довольно модно сообщать об успешных операциях по закрытию ботнетов и аресту их владельцев. Так, закрыли Bredolab — и об это не написали только ленивые.
Цель этой статьи — показать, что далеко не всё так гладко в Датском королевстве.
Автор не претендует на исчерпывающую информацию, но в любом случае полезно знать о провалах антивирусной индустрии.
1. Conficker (также известен как Downup, Downadup и Kido). Один из самых опасных компьютерных червей. Впервые появился 21 ноября 2008 года. Благодаря эксплуатации ряда уязвимостей, червь на январь 2009 года поразил 12 млн. систем. На данный момент заражено около 5 млн. систем, однако не фиксируется никакой активности, свидетельствующей об активации этого ботнета, однако он существует.
Несмотря на обещание со стороны Microsoft премии в $250000 за поимку авторов червя и владельцев ботнета 12 февраля 2009 года, они всё ещё на свободе.
2. Троянские программы семейства Zeus (ZBot) появились в 2007 году. Благодаря простоте конфигурации и удобству использования для кражи веб-данных, ZeuS стал одной из самых распространяемых и продаваемых программ-шпионов на черном рынке интернета, а ботнет Zeus — №1 в мире, насчитывая более 3,6 млн. только в одном США. Автор троянца, известный как «Slavik» или «Monstr» на хакерских форумах — активно продавал своё детище вплоть до середины-конца 2010 года, после чего заявил о прекращении деятельности. Суммы, вырученные на одних только продажах троянца оцениваются в семизначные (в долларах, естественно), не говоря уже о кардерских и конфиденциальных составляющих.
Обсуждение ZeuS стало фирменной фишкой любой уважающей себя компании, занимающейся цифровой безопасностью, был создан специальный трекер для отслеживания деятельности ботнета, однако «Slavik» по-прежнему на свободе.
3. SpyEye, как много в этом слове… Троянец появился в конце 2009 — начале 2010 года и сразу стал противопоставляться Zeus. Автор троянца, известный в форумах как «Gribodemon» или «Harderman», активно продвигал свой продукт, однажды даже снабдив его Zeus Killer'ом — функционалом, предназначенным для устранения конкурента на системах-зомби.
Как только автор Zeus решил отойти от дел, он передал (продал?) исходные коды Gribodemon'у, с условием поддержки существующих «пользователей». На данный момент уже не секрет, что новые версии SpyEye обладают многими функциями своего преемника.
Найти «Грибодемона» не так уж и сложно — как по активности его ботнета, так и на хакерских форумах. Его предложения всё ещё активны.
4. TDL/TDSS (Alureon, TidServ). Один из наиболее технологичных руткитов на настоящий момент. TDL4 — первый и один из немногих руткитов для платформы х64. Постоянно используются новые механизмы, новые уязвимости класса 0-day, позволяющие обойти существующие антивирусные системы. Отдельные фрагменты кода, поведение и фразы в конфигурационном файле позволяют сделать предположение, что авторы тоже уроженцы некогда Единого и Могучего.
Ботнет TidServ — третий в мире по размерам, однако информация довольно устаревшая, а новой антивирусные корпорации не спешат делиться.
5. В июле 2010 года словенская полиция арестовала трёх студентов по подозрению в создании Mariposa/Palevo. Ранее, весной того же года в Испании были арестованы три оператора того же ботнета. Считается, что этот ботнет «обезглавлен», «устранён», «неактивен», было много смеха, когда подследственные студенты пытались найти работу в компаниях по безопасности, но — всегда есть «но»! На данный момент создаются и обнаруживаются всё новые версии Kolab/Palevo. Да и появление каждый день новых C&C как-то не успокаивает… Кроме того надо отметить особый профессионализм написания кода этого червя, который возможно и был бы по силам студентам — но талантливым студентам. Ботнет пал? Хм…
6. Декабрь 2010 года… Совместно с сотрудниками отдела «К» МВД РФ и зарубежными коллегами, которые занимаются IT-безопасностью, был обнаружен огромный ботнет, который насчитывает порядка 600000 систем по всему миру. C&C ботнета располагались преимущественно на российских серверах. Также удалось установить владельца ботнета, им оказался некто под ником «crazyese». Известно, что «crazyese» замешан в DDoS атаках на правительственные сайты разных стран, больше ничего не известно. После обнаружения ботнета владельцем этой сети заинтересовались спецслужбы разных стран.
9 февраля 2011 года в сеть попал ICQ номер (609684624) того самого «crazyese», номер в сети опубликовал один из его конкурентов. Тем не менее, владелец номера это и не скрывает, продолжая открыто предлагать свои услуги.
Список можно продолжать, но смысл? Остановим его на зловещей цифре 6. Куда интереснее узнать ответ на вопрос: почему при всей мощи антивирусной индустрии, при всём великолепии и многочисленности групп быстрого реагирования на атаки и угрозы все описанные случаи имеют место быть — а главное до сих пор существовать? Ответов может быть много, возможно, что какой-то из них близок к истине…