Когда приходит время организовать себе отпуск или даже краткую поездку на выходные, многие из нас обращаются к сайтам наподобие Expedia, Travelocity и другим, позволяющим сравнить различные условия при заказе туров. Но есть еще одна подобная служба, предназначенная для кибер-преступников, хотя и не столь широко известная. Когда кибер-преступник желает уйти… нет, не в отпуск, а от возмездия, он обращается к подпольному онлайновому сервису, который сдает в аренду преступникам взломанные ПК, что позволяет им сохранить анонимность при обделывании своих делишек.
Часто мы слышим о взломанных компьютерах, управляемых дистанционно, или о "ботах", которые используются для рассылки спама или для размещения вредоносных Web-сайтов, но редко исследователи проблем безопасности углубляются в изучение механизмов самого первичного использования ботов: в качестве узлов сети анонимизации, которая позволяет платежеспособным клиентам скрывать истинный адрес своего подключения к Internet за одной или несколькими взломанными системами.
Как я заметил в колонке в Washington Post в 2008 году, «сервисы такого типа очень востребованы преступниками, которые занимаются кражей денег со счетов в финансовых институтах, где выполняется элементарная проверка региона, из которого происходит доступ к счету - такая проверка позволяет убедиться, что лицо, получающее доступ, работает из своего обычного региона, а не из Одессы (Украина), например». Мошенники всегда использовали «прокси», но интересно здесь то, что так легко оказывается найти жертву, если вы пользователь сети анонимизации.
Вот обзор одной из наиболее развитых сетей анонимизации, предлагающих свои услуги, подписаться на которые можно только по приглашению, полученному на одном из основных подпольных форумов кибер-преступников.
Когда я опробовал эту службу, в ней было доступно более 4100 ботов-прокси, расположенных в 75 странах (хотя основная часть взломанных компьютеров, сдаваемых в аренду преступниками, находилась в Соединенных Штатах и Соединенном Королевстве). Кроме того, следует учитывать, что количество доступных прокси колеблется, достигая пика в часы, соответствующие рабочему времени в Соединенных Штатах. Изучив карту США (см. изображение), пользователь может выбрать прокси в нужных штатах, а диалог «расширенного поиска» позволяет выбрать боты в определенном городе, в определенном диапазоне IP-адресов, у определенного провайдера или с заданной скоростью соединения. На этом сервисе предлагается также довольно активный русскоязычный форум для поддержки пользователей. Клиенты могут воспользоваться службой, заплатив одноразовый регистрационный сбор (страховой взнос?) в размере 150 долларов через посредство виртуальной валюты, такой, как WebMoney или Liberty Reserve. После этого клиент может арендовать конкретные системы с ботами за плату примерно доллар в день или «купить» бот для эксклюзивного использования за чуть большие деньги.
Я попытался определить местоположение нескольких владельцев взломанных машин, которые сдаются в аренду этой службой. Первоначально это представлялось трудной задачей, поскольку большинство взломанных компьютеров, служащих в качестве прокси, были домашними машинами или ПК в небольших бизнесах, подключенных через кабельный модем или DSL-соединение. Как видно из снимка экрана ниже, единственной идентифицирующей информацией для этих систем является IP-адрес или имя машины. И хотя так называемые «службы гео-локации» могут определить приблизительное местонахождение Internet-адреса, эти службы не слишком точны и нередко ошибаются.
Я начал наугад просматривать списки прокси, ища среди них осмысленные имена машин, например, таких, в которых использовалось бы имя домена или название фирмы. Прошло не очень много времени, прежде чем я натолкнулся на Web-сайт компании The Securities Group LLC в Мемфисе (штат Теннеси), брокерско-дилерской фирмой, специализирующейся на партнерских проектах с врачами. По сведениям с сайта этой компании, «TSG собрала более 100 миллионов долларов, организовав на паевых условиях более 200 здравоохранительных проектов, включая целые больницы, амбулаторные хирургические центры, хирургические стационары и центры позитронно-эмиссионной томографии, рентген-операционные и центры по лечению рака предстательной железы с участием более 400 инвесторов-врачей». Прокси, продаваемый сервисом анонимизации, был привязан к Internet-адресу сервера e-mail этой компании, а также к Web-сайту интерната для престарелых Kirby Pines, тоже в Мемфисе.
По словам Мишель Траммелл (Michelle Trammell), заместителя директора Kirby Pines и президента TSG, с которой я связался на этой неделе, она и понятия не имела о том, что ее компьютерные системы продаются и сдаются в аренду кибер-преступниками. Позднее я поговорил со Стивом Каннингхемом (Steve Cunningham) из ProTech Talent & Technology, ИТ-компании в Мемфисе, которую пригласили помочь наладить безопасность в этой сети.
Каннингхем сказал, что антивирусное сканирование машин TSG, так же, как и машин интерната для престарелых, показало, что один из компьютеров был захвачен спамовым ботом, который был удален примерно две недели назад. Но, по его словам, он и подумать не мог, что сеть по-прежнему используется кибер-преступниками. «Было обнаружено вредоносное ПО, рассылающее спам», сказал Каннингхем. «Похоже, что система безопасности была у них не на высоте, но мы собираемся обновить эти [ПК] и установить антивирусное ПО на все серверы в течение следующей недели или около того».
Среди других организаций, чьи IP-адреса и имена компьютеров фигурировали в списках сервиса анонимизации, сеть магазинов одежды The Limited; госпиталь Santiam Memorial в Стейтоне (штат Орегон), медицинский центр North Shore в Салеме (штат Массачусетс); маркетинговая фирма McCann-Erickson Worldwide; и Торгово-промышленная плата в Грейтер Рено-Тахо.
Службы анонимизации - это еще одно дополнительное препятствие, которое возводится на все более сложном пути к истокам ботнета. Как я часто уже замечал, прослеживание ботнетов вплоть до их создателей - в лучшем случае просто трудная задача, а иногда и просто Сизифов труд. И как показывает случай с TSG, куда легче содержать в порядке и регулярно обновлять защитное ПО на своих компьютерах, чем санировать компьютеры, однажды зараженные ботом.