Итоговая статья калифорнийской команды имеет объем около полутора десятков страниц убористым шрифтом и более чем заслуживает полного с нею ознакомления. Здесь же мы вкратце изложим лишь наиболее примечательные моменты исследования (заметим, что угон ботнета Torpig длился десять дней и предоставил ученым огромное количество материалов для анализа). Самой интересной частью отчета, безусловно, является рассказ о том, как исследователям удалось угнать у хозяев столь изощренный ботнет, про который было известно, что он регулярно меняет сетевые адреса своего центра управления (С&С). Сотрудники университетской лаборатории компьютерной безопасности сумели разобраться, каким образом бот в зомби-машине решает, куда ему обращаться за очередными инструкциями. Иными словами — как работает алгоритм вычисления очередного адреса для размещения С&С. В частности, было установлено, что ботнет использовал особую технологию для псевдослучайной генерации адресов, получившую у исследователей название «поток доменов» (domain flux). В соответствии с этим алгоритмом боты Torpig (а также других продвинутых бот-нетов) регулярно, скажем, раз в неделю, обращаются к новым веб-сайтам с разными именами. Этот прием, как легко догадаться, направлен на то, чтобы максимально затруднить охотникам за ботнетом (правоохранительным органам или конкурентам-угонщикам) предугадывание дальнейших ходов системы.
Впрочем, восстановить довольно простой и сугубо детерминированный алгоритм генерации адресов для опытных аналитиков не составило большого труда — достаточно было лишь установить, где именно спрятан его код. После этого уже можно было определить, к каким сайтам боты Torpig станут обращаться в дальнейшем за новыми инструкциями. Говоря упрощенно, Torpig брал за основу «случайного» имени номер текущей недели и год и генерировал блок новых доменных имен, добавляя в конец суффиксы .com, .net и .biz.
Университетская команда заметила, что владельцы ботнета регистрировали нужные домены лишь за несколько недель до наступления соответствующей даты, поэтому «угонщики» немного их опередили, вычислив, к каким именам Torpig вскоре должен обращаться, купили эти имена и разместили на веб-хостах, известных своим безразличием к сигналам о злоупотреблениях арендаторов. Этот трюк позволил команде выдать себя за новый С&С и начать прием всех данных, собираемых ботнетом Torpig, Как только исследователи обнаружили, что их затея удалась, они не мешкая связались с ФБР и Министерством обороны США, посвятили их в суть операции и, грубо говоря прикрыли собственные задницы на случай возможных осложнений.
Если переходить на язык цифр, то количество зомби-машин, объединяемых центром управления сети Torpig, на момент исследования составляло около 182 800. При этом свыше 17 200 компьютеров из этого числа принадлежали корпоративным сетям фирм и учреждений. Поскольку целью исследования была не ликвидация или модификация криминальной сети, а максимально возможный сбор сведений о работе ботнета, ученые просто наблюдали за автоматически происходящей работой из захваченного центра управления, а также накапливали и изучали всю ту информацию, что боты похищают из зараженных ПК.
За 10-дневный период, доступный для наблюдения, ботнет выкачал свыше 69 гигабайт чувствительных данных из машин ничего не подозревающих пользователей. В соответствии с настройками шпионских ботов, по преимуществу это была информация для доступа к банковским счетам и реквизиты кредитных карт, списки адресов электронной почты для спам-рассылок, логины-пароли для доступа к email- и прочим защищенным эккаунтам пользователей, а также файлы Windows-паролей и вводимых с клавиатуры текстов, перехватываемых кейлоггерами. В общей сложности за этот срок ботнет Torpig похитил 1660 уникальных номеров кредитных и дебетовых карточек, плюс информацию о 8310 счетах в 410 разных финансовых учреждениях. Среди наиболее активно атакуемых целей похитителей были сервисы РауРа! (1770 аккаунтов), Poste Italiane (765), Capital One (314), E'Trade (304) и Chase (217). Вся информация, которую ботнет собрал под контролем исследователей, затем была передана пострадавшим финансовым институтам и правоохранительным органам. Как пояснил эту часть работы один из руководителей операции, доцент университета Джованни Винья, «нашей целью было понять характерные черты жертв ботнета».
Первый из «уведенных» доменов типа .com, на котором был размещен центр управления угонщиков, был закрыт менее чем через наделю, 30 января 2009, когда один из банков пожаловался на криминальную активность сайта регистратору доменных имен. Что, впрочем, отнюдь не было воспринято командой как неудача: «Это был хороший признак, демонстрирующий, что где-то люди реально заняты выявлением вредоносной деятельности». Угонщики владели следующим именем из генерируемого ботами списка, типа .net, поэтому без проблем продолжили контроль за сетью. Однако 4 февраля изучение прирученного ботнета в работе полностью прекратилось, поскольку настоящие владельцы Torpig распространили новую версию кода, которая изменила алгоритм, использовавшийся ботами для выбора новых доменных имен, и вернула ботнет под свой контроль.
Несмотря на ту очевидную угрозу, что представляют для общества зомби-сети вроде Torpig, исследователи признают, что даже не пытались вырубить работу ботнета, Поскольку столь крутой шаг легко мог бы привести к непредвиденным последствиям. Например, к самоликвидации зараженных ботами систем, часть из которых может быть задействована в критично важных областях — вроде компьютеров в медицинских учреждениях.
ПРИСТУПИТЬ
К САМОЛИКВИДАЦИИ
То, что программы-боты превращают зараженные машины в «зомби», уводя компьютеры из-под контроля владельцев и передавая под контроль злоумышленников, уже давно трактуется как одна из наиболее пугающих деталей в работе вредоносного ПО. Потому что тайные владельцы из преступного мира в принципе располагают всеми возможностями для полной ликвидации сети, отдав ботам команду на самоуничтожение вместе с приютившей их компьютерной системой.
Но хотя о возможностях таких известно уже давно, большинство экспертов обычно расценивают подобную угрозу как сугубо теоретическую. Ибо ликвидация захваченных ботнетом систем выглядит для атакующей стороны как-то слишком уж нелогично и контрпродуктивно.
Но как бы там ни было, логично или не очень, однако в реальной жизни подобные акты массового самоуничтожения ботнетов действительно случаются. И сравнительно недавно одно из таких «теоретически маловероятных» происшествий имел | возможность воочию наблюдать Роман Хюсси (Roman Hussy), молодой швейцарский специалист по компьютерной безопасности, автор и постоянный ведущий известного в профессиональных кругах вебсайта ZeusTracker (zeustracker.abuse.ch).
Хюсси и его сайт получили известность благодаря тому, что ZeusTracker на регулярной основе отслеживает длиннющий список серверов, использующих криминальный хакерский набор Zeus. To есть программный инструментарий, в разной комплектации продаваемый на черном рынке за сумму от 700 до 4000 долларов и используемый для построения ботнетов, заражающих компьютер троянцем для похищения паролей и прочей ценной информации, Одна из отличительных особенностей Zeus — это способности к полиморфизму, благодаря которым каждый конкретный вариант бота, установленного на компьютере-жертве, заметно отличается от собратьев, установленных в других машинах. Эта особенность существенно затрудняет обнаружение инфекции антивирусными средствами.
Среди множества возможностей Zeus имеется команда «kos», означающая kill operating system, то есть «убить операционную систему". Файл помощи, распространяемый в комплекте с набором Zeus, содержит примерно такое пояснение к работе данной функции: «kos — вывести из строя ОС, а именно уничтожить ветви реестра HKEY_CURRENT_USER и/ или HKEY_LOCAL_MACHINE». После того как уничтожение завершено, бот начинает полное обнуление виртуальной памяти системы. Как показывают эксперименты, в результате отдачи такой команды исследователями в лабораторных условиях наиболее вероятным итогом становится B.S.O.D, то есть «синий экран смерти» системы. Аналогичные по назначению команды имеются и в других ботнетах, однако kos из арсенала Zeus расценивается как одна из наиболее тяжелых по своим разрушительным последствиям.
В апреле этого года Роман Хюсси начал отслеживать работу одного из центров управления Zeus, получавшего данные, похищаемые с более чем ста тысяч инфицированных систем, расположенных главным образом в Польше и Испании, В процессе наблюдения за этим недавно обнаруженным С&С, Хюсси отметил нечто совершенно небывалое: для всех зараженных машин зомби-сети вдруг прошла команда «убить ОС». По свидетельству наблюдателя, у него нет ни малейшего понятия, по какой причине ботнет столь неожиданно был разрушен самими хозяевами.
Гипотез на этот счет было выдвинуто сколько угодно. Сам Хюсси полагает, что, быть может, данный ботнет захватила другая преступная группа и в результате зараженные компьютеры стали жертвой междоусобных разборок. С другой стороны, многие кибер-преступники, использующие удобный набор Zeus, не слишком опытны во всех этих хакерских хитростях, и может быть так, что люди, контролировавшие работу данной сети, просто не очень хорошо понимали, что делают. Наконец, одна из правдоподобных версий произошедшего предполагает, что злоумышленники, возможно, избрали столь радикальный вариант команды с той целью, чтобы обеспечить себе побольше времени для реализации похищенного и заметания следов.
Конкретно в данном случае ни Хюсси, ни его сайт ZeusTracker ничем не могли помочь владельцам пострадавших от «убийства» машин. Во множестве же других случаев постоянно обновляемые списки ZeusTracker оказываются весьма серьезным подспорьем при «лечении» скомпрометированных серверов и в борьбе с криминальными ботнетами.
Однако, как постоянно подчеркивают все эксперты по компьютерной безопасности, самое эффективное сопротивление росту зомби-сетей могут и должны оказывать сами владельцы машин — внимательно следя за обновлениями используемых программ, регулярно сканируя систему на предмет известных инфекций и просто соблюдая элементарные меры «сетевой гигиены» при подключении к Интернету. ■
ОСОБЕННОСТИ АРХИТЕКТУРЫ
|Сегодняшння классификация ботнетов очень проста. По существу, 'в ее основу попожены всего два важных параметра — архитектура ботнетов и протоколы, используемые для их управпения. Поскольку с точки зрения угона ботнета важнейшим его параметром является архитектура, рассмотрим этот аспект подробнее.
Архитектуру ботнетов обычно подраздепяют на два основных типа — с централизованной и с децентрапизованной топопогией. Иногда добавляют еще один, смешанный тип, объединяющий в себе черты двух первых, однако ничего принципиапьно нового в нем нет.
В ботнетах с централизованной топологией, или, иначе, с единым центром управления, именуемым С&С (от Command & Control Centre), все зомби-компьютвры подсоединяются строго к одному главному узлу. Центр управления следит за состоянием подкпюченных ботов, накаплива-ет собираемые ими данные и выдает команды, а также постоянно ожидает подключения новых ботов, регистрируя их в своей базе. Для управления
сетью хозяину необходим доступ к С&С, откуда видны все подключенные компьютеры-боты. Такой тип зомби-сетей является на сегодня самым распространенным, поскольку их легче создавать и ими удобнее эффективно управпять. Обратной стороной этих преимуществ явпяется то, что пикви-дация узпа С&С означает блокирование всего ботнета, а дпя угона достаточно перехватить управпение центром.
Зомби-сети с децентрализованной топопогией часто называют Р2Р-ботнетами, поскопьку здесь боты соединяются не с единым центром управпения, а с несколькими соседними, также зараженными машинами по известному принципу peer-to-peer, то есть «точка-точка». Ликвидировать ипи угнать такую сеть гораздо труднее, поскольку хозяину для управпения всем ботнетом достаточно иметь доступ хотя бы к одной из машин зомби-сети. С другой стороны, управлять Р2Р-ботнетом не так удобно, как сетью с С&С. Поэтому часто злоумышленники прибегают к смешанным топологиям, объединяющим в себе наиболее привпекательные черты Р2Р и С&С. ■
По следам космического ДТП
СПУТНИКИ «ИРИДИУМ» НАЦЕЛИЛИСЬ НА РОССИЮ
Ольга Топровер
10 февраля нынешнего года впервые в истории космонавтики столкнулись два спутника: российский , «Космос-2251» и американский Iridium 331. Почему аварию не удалось предотвратить? Безопасно ли в космосе сегодня? Как исключить подобные инциденты? С этими вопросами мы обратились к Дэну Мерсеру, вице-президенту компании Iridium Satellite LLC.
Почему пересечение траекторий не было отслежено заранее и спутнику не отдали команду к маневру?
— Исследование, проведенное после инцидента, показало; в тот день прогноз на это столкновение не входил даже в 150 наиболее вероятных пересечений траекторий наблюдаемых космических объектов. Iridium 33 шел по нормальной траектории. ВВС США регулярно оценивают возможность потенциальных столкновений, но приоритет, и это понятно, отдается защите пилотируемых космических аппаратов, а не коммерческих спутников2.
Каким образом производилась замена Iridium 33? Сколько времени на это потребовалось?
— После аварии были незамедлительно приняты меры для временного перенаправления коммерческого трафика на наземные терминалы на Аляске. На это потребовалось 55 часов, Вся же операция по замене потерянного спутника длилась 22 дня.
Iridium предоставляет услуги спутниковой связи. Наверное, в результате аварии был период, когда стопроцентное покрытие не обеспечивалось? Были ли жалобы со стороны ваших абонентов?
— Благодаря оперативному перенаправлению коммуникаций и нашей способности быстро перевести запасной орбитальный спутник на необходимую траекторию лишь немногие абоненты ощутили перебои со связью.
Какова стоимость потерянного спутника Iridium 33 и восстановительных работ? В какую сумму обошлась авария?
— Спутниковая группировка Iridium разработана с учетом резервных орбитальных спутников, которые и предназначаются для замены вышедшего из строя аппарата, по какой бы причине это ни произошло. Долларового эквивалента потерянного спутника не существует. Мы приобрели группировку за сравнительно
скромную сумму и готовы к потерям спутников в течение срока эксплуатации группировки. Не существует также материального выражения в отношении восстановления сети, мы просто потеряли запасной спутник.
Как вы оцениваете безопасность в космосе сегодня? Каким образом можно предотвратить подобные аварии в будущем?
— Мы верим, что космос остается безопасной средой для нашей сети. Iridium наряду с большинством коммерческих спутниковых операторов участвует в разработке мер с правительством США и отраслевыми организациями, направленных на улучшение надежности мониторинга и предупреждения опасных ситуаций. Происшедший инцидент демонстрирует необходимость в более тесном сотрудничестве между промышленностью и правительством для того, чтобы повысить качество доступной информации для предотвращения столкновений. Мы ведем переговоры с правительством США о том, как Iridium может поддержать подобные инициативы. Очевидно, что это сложный международный вопрос, который не может быть решен лишь одной из многочисленных сторон.
Столкновение спутников подогрело интерес к компании Iridium. Насколько мне известно, первая коммерческая попытка организации спутниковой связи закончилась банкротством Iridium LLC в 1999 году, когда в течение двух лет созвездие из 66 спутников было «забыто» на орбите. Почему это произошло?
— Первый Iridium, которым владела Motorola, использовал абсолютно другую модель бизнеса. Неизменными остались только имя компании и архитектура спутниковой группировки. Новая модель бизнеса, нацеленная на корпоративных заказчиков из промышленного сектора, оказалась успешной. Не понимаю откуда появилась информация о том, что «66 спутников были забыты на орбите в течение двух лет». На самом деле, предоставление услуг связи не прекращалось. От Iridium LLC к нам перешла не только техническая часть, но и, например, клиент— Министерство обороны США,
Верно ли, что активы Iridium ориентировочной стоимостью 6 миллиардов долларов были куплены после банкротства за 25 миллионов? Как это случилось?
— Несмотря на то что Motorola отчиталась о шести миллиардах долларов, потраченных на запуск спутников, наши инвесторы приобрели компанию за 25 миллионов, основываясь на том, сколько на тот момент приносили услуги связи, рассчитанные на потребителей.
Почему была выбрана стратегия низкоорбитальных спутников? Вы считаете, что она самая лучшая для обеспечения стопроцентного покрытия земного шара?
— Определенно. Многим своим преимуществам система Iridium обязана именно низкоорбитально-сти. Прежде всего, наша сеть — это единственная группировка, предлагающая поистине глобальную мобильную спутниковую связь. Это главное преимущество, например, для судов, проходящих через Северо-Западный проход, или для самолетов на полярных маршрутах. Из-за своего месторасположения
геостационарные спутники не покрывают северные и южные широты, К тому же, благодаря низкоорбитальной архитектуре, сеть Iridium предоставляет связь с низкой задержкой сигнала. Это критично для наших клиентов, передающих данные, необходимые практически в реальном времени. Начиная с семидесятой параллели по мере продвижения к полюсам связь, которую обеспечивает геостационарная архитектура, неуклонно ухудшается, вплоть до полного исчезновения. Причина тому — небольшой угол обзора между антенной и спутником, Геостационарная архитектура хороша для неподвижных объектов, а для движущихся ей требуются более сложные, управляемые и дорогие антенны. Низкоорбитальная же архитектура лучше подходит для связи в движении, благодаря более простым, сравнительно небольшим всена-правленным антеннам. Вот почему в этом конкретном случае группировка Iridium выигрывает, покрывая земную поверхность от одного полюса до другого.
Чем Iridium отличается от конкурентов?
— Область мобильной спутниковой связи характеризуется тем, что провайдеры не только предлагают конкурирующие друг с другом продукты, но и работают вместе. Каждый из них обеспечивает что-то уникальное для своего сегмента рынка. Наши услуги предназначены для регионов, где наземное покрытие
— редкое или отсутствует совсем, а также для полярных регионов. Там просто нет других альтернатив.