Впервые в ходе усилий правоохранительных органов США по обеспечению безопасности интернета Федеральное бюро расследований взяло под контроль российское предприятие, занимающееся киберпреступностью, которое поработило миллионы персональных компьютеров и, возможно, получило доступ к американской дипломатической, военной и правоохранительной компьютерным системам.
Как будто мало нам было WikiLeaks.
Но для того, чтобы окончательно уничтожить криминальный «ботнет», ФБР необходимо предпринять еще один агрессивный шаг, который вызывает тревогу защитников конфиденциальности: удалить вредоносные программы из компьютеров в сети. Остается надеяться, что все изъятое будет действительно вредоносным.
Целью ФБР является «сетевой робот», прозванный следователями Coreflood botnet. Это всемирная сеть, созданная российской бандой киберпреступников, которая взяла под свой контроль 2,3 миллиона персональных компьютеров и выкачивает огромные объемы личных финансовых и правительственных данных США на протяжении почти десятилетия, прежде чем ее обнаружили.
Более миллиона персональных компьютеров вовлечены в ботнет на территории США, как следует из обращения министерства юстиции в федеральный суд штата Коннектикут в прошлом месяце.
Три года назад Coreflood скачивала около гигабайта данных в день и до 500 гигабайт в год – это сравнимо примерно с пятью этажами библиотеки, заполненными академическими журналами. Но следователей беспокоит, что ее главная цель – не просто сведения о кредитных картах, банковских переводах и банковских паролях.
В какой-то момент следователи обнаружили, что Coreflood пересылает в Россию ключи доступа к компьютерным системам, принадлежащим, по крайней мере, одному американскому посольству на Ближнем Востоке. Это заставило правительственных чиновников более чем немного понервничать, сказал Christian Science Monitor следователь компании компьютерной безопасности.
По данным на этот год, ботнет Coreflood внедрился в часть сети США – сотни тысяч компьютеров, принадлежащих 17 государственным или местным правительственным учреждениям: в их числе один полицейский отдел, три аэропорта и два подрядчика министерства обороны. Добавьте к этому списку пять банков или финансовых учреждений, около 30 колледжей или университетов и примерно 20 больниц или компаний здравоохранения, а также сотни предприятий, согласно данным судебного заявления министерства юстиции.
Бот-сети почти идеальны для преступников
Анонимные и недорогие для создания, ботнеты – почти идеальные криминальные интернет-платформы для атак, направленных на закрытие сайтов компании, если не заплатить, и особенно для хищения личных учетных данных в банках. Антивирусная компания Symantec сообщила о почти 7 миллионах бот-сетей в интернете в 2009 году. Мощный ботнет Coreflood уже достаточно взрослый, так что самые современные антивирусные программы должны защищать компьютеры от заражения.
Миллионы криминальных ботнетов сегодня работают в интернете, тайно превращая персональные компьютеры физических лиц в «зомби» или «боты», которые сделают все, что прикажут им преступные «бот-мастеры», и хозяин ничего не будет об этом знать.
Власти пытаются в течение ряда лет остановить ботнеты, но с разной степенью успеха.
Но в прошлом месяце министерство юстиции и ФБР попробовали закрыть Coreflood, используя метод, который мог бы послужить моделью для более эффективного обращения с ботнетами в будущем. Принцип действия? В общих чертах правоохранительные органы взяли под контроль ботнет, подключив к сети свои «командно-контрольные» компьютеры, способные отдавать приказы отдельным ПК-ботам в сети.
И вот ФБР контролирует Coreflood.
Чтобы контролировать свою обширную сеть ботов и получить доступ к персональным банковским данным и другой финансовой информации, кибербанда Coreflood посылала команды с компьютеров из России. Эти команды сначала проходили через компьютеры, рекрутированные бандой в Эстонии, которые затем передавали инструкции для «управления и контроля» компьютерами в Техасе, Калифорнии, Огайо, Аризоне и Джорджии.
Банда также использовала компьютерные услуги хостинга ничего не подозревающих интернет-провайдеров в Нью-Йорке, Нью-Джерси, Пенсильвании, Массачусетсе, Вирджинии, Флориде, Аризоне, Неваде, Калифорнии, Орегоне и Вашингтоне.
Часто отправляемая команда должна была искать слова в зараженных компьютерах, которые указывали на банковскую информацию или данные о кредитной карте - и переслать их. Но столь же часто Coreflood поручала скачивать все, наделяя ботнет ненасытным аппетитом на все виды данных. Ее неуемный, неразборчивый аппетит на данные, возможно, и привел к ее гибели.
12 апреля окружной судья в штате Коннектикут подписал судебный приказ о временном запрещении против 13 неустановленных обвиняемых, предполагаемых членов российской кибербанды. Суд дал разрешение ФБР на принятие беспрецедентной меры по отправке команды электронной «паузы» на все американские компьютеры, инфицированные Coreflood, чьи владельцы понятия не имели, что их компьютеры были под контролем банды из России.
ПК-ботам приказано спать
Работая в тесном контакте с частными экспертами по компьютерной безопасности, ФБР сначала подменили своими компьютерами зараженные ПК в Coreflood. Поэтому, когда ПК-боты «замаячили» со своими инструкциями, они вышли на подмененные ФБР машины. А те ответили, послав команды с указанием вредоносным программам Coreflood ПК-бота спать – просто ничего не делать.
В результате в конце прошлого месяца количество ботов в сети Coreflood, активно «звонящих домой», упало на 90%, по данным федерального суда на прошлой неделе. Но это временная мера. Введение программы в состояние сна не то же самое, что ее удаление. Пока вредоносная программа не удалена Microsoft или антивирусные обновления не загружаются на компьютер, она запустится снова в следующий раз при перезагрузке компьютера.
Следующий шаг был сделан на прошлой неделе, когда ФБР обратилось в суд за разрешением и получило его, чтобы направить на те же компьютеры так называемую команду «убить» – и они эффективно удалят программное обеспечение ботнет. Однако, по данным суда, ФБР сообщило ему, что прежде чем отправить такую команду, оно получит письменное разрешение от каждого владельца компьютера.
«Эти действия по уменьшению угрозы ботнета Coreflood являются первыми в своем роде в США и отражают нашу приверженность творческому и активному подходу в обеспечении большей безопасности интернета», – заявил Шон Генри (Shawn Henry), заместитель директора киберподразделения ФБР.
Защитники конфиденциальности озабочены
Тем не менее, идея ФБР отправить команды миллионам компьютеров, которые окажут на них неизвестное влияние, встревожила защитников частной жизни.
«Это страшная, огромная бот-сеть, и если ФБР сможет удалить ее, исчезнет несколько проблем, – отмечает Крис Палмер (Chris Palmer), директор по технологиям Electronic Frontier Foundation, группы, специализирующейся на конфиденциальности информации, которая находится в Сан-Франциско. – Я беспокоюсь о том, что может случиться с компьютерами физических лиц, если дела пойдут не лучшим образом. Я просто надеюсь, что это не выйдет за пределы благородной цели».
Такую точку зрения поддержали и другие.
«Если это не сработает, мы не можем сказать, к чему это может привести, – пишет Пол Даклин (Paul Ducklin), руководитель по технологиям отделения азиатско-тихоокеанского региона британской компании Sophos, которая занимается компьютерной безопасностью. – Не получится дальше, что полицейские сдадутся? Или это приведет к еще большей зависимости? И в любом случае, как на это будут реагировать люди?»
На данном этапе, однако, выгода очевидна на примере отдельных жертв, почувствовавших на себе угрозу. В одном случае, например, директор по информационной безопасности больничной сети обнаружил, что два из 14 тысяч больничных компьютеров были инфицированы Coreflood. Благодаря тому, что действия ФБР вывели Coreflood из строя, больнице удалось обследовать и очистить свои машины, вместо того, чтобы отчаянно пытаться остановить отток данных из тысяч зараженных компьютеров, по информации суда.
Но если ботнетов миллионы, почему взялись за Coreflood? Хотя банда Coreflood старалась держаться в тени, следователи говорят, что они, наконец, нащупали нерв – восприимчивость правительства США к краже данных из-за повторяемых кибервторжений повысилась настолько, что оно, видимо, решило положить этому конец.
«Одна из причин, я думаю, почему проблема получила некоторое внимание правительства, в том, что Coreflood ворует огромное количество данных», - говорит Дон Джексон (Don Jackson), директор по разведугрозам Dell SecureWorks – компании из Атланты, одной из немногих, которая занимается подробным исследованием ботнета с 2003 года.
В отличие от гораздо более известной программы банковского ботнета, называемой «Зевс», которая запрограммирована так, что точно знает, какие биты и байты отвечают за деньги, финансовые записи составляли «всего лишь часть объемов информации», которые украл Coreflood.
«Сама Coreflood неразборчива, - говорит г-н Джексон. – Она будет красть всю информацию в папке «Документы», она будет воровать все пароли, все учетные записи электронной почты, загружать все это на серверы. Большинство из них никогда не увидят операторы [Coreflood]. Они просто ищут информацию в этом обширном море данных, которые они могут использовать. Но среди этой информации – потому что она крадет все и просматривает все – она передает много данных обратно операторам. А это включает в себя информацию, чувствительную для правительственных структур».
В случае проникновения в компьютерную систему одной из ключевых государственных полицейских правоохранительных структур, Coreflood захватила пароли, так что «вы могли бы сказать, по какому наркоторговцу гражданский информатор дал письменное показание под присягой, на основании которого будет выписан ордер», - говорит Джексон.
Ключ к посольству на Ближнем Востоке
«Одна из наиболее содержательных информаций, которую мы обнаружили, был логин – фактически, мастер-ключ к сетям в ближневосточных посольствах США, – говорит Джексон. – Поняли операторы [Coreflood], что они получили, или нет, это одно. Но если поняли, есть огромный риск, что данные оказались в руках русских преступников и разных людей, которые с ними связаны».
На просьбу назвать посольства, Джексон сказал, что мастер-ключ был «в этом случае к одному посольству США. Мы обратились для принятия мер к министерству юстиции и Госдепартаменту – дело было более года назад – и об этом хорошо позаботились... Это хороший пример того, какую информацию Coreflood крадет в системах, что действительно достойно интереса правительства».
Был ли переломный момент, после чего ФБР занялся Coreflood? По-видимому, от ударов Coreflood пострадало нескольких учреждений, включая системы Пентагона.
«Посольские системы [которые были затронуты] принадлежали Госдепартаменту, - говорит он. - Могу сказать, что были задеты правительственные и военные системы - некоторые много лет назад... Некоторые учреждения почувствовали это на себе намного раньше, чем другие».