Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

BoteAR: "botnet społecznościowy"? O czym my rozmawiamy?

Jorge Mieres
Kaspersky Lab Expert
Dodany 18 października 2012, 12:32 CEST
Tagi:

W dziedzinie bezpieczeństwa informacji mówienie o botnetach to mówienie o szkodliwych cyberdziałaniach, które urzeczywistniają się poprzez akcje przestępcze. W istocie, za każdym takim działaniem stoi zawsze wrogie nastawienie ze strony ludzi, którzy konstruują botnet i zarządzają nim. Proszę mnie poprawić, jeśli się mylę, ale myślę, że zgodzicie się ze mną.

Botnet BoteAR (opracowany w Argentynie) adaptuje koncepcję masowej "sieci społecznościowej", choć wydaje się, że jak na razie atak ten nie jest jeszcze w pełni rozwinięty. Oferuje on tradycyjny botnet, gotowy do zarządzania przez HTTP, lecz wykorzystuje model usługowy, oparty na działaniach cyberprzestępczych. Ponadto, autor przyjął (być może nieświadomie) model biznesowy systemów partnerskich pochodzących z Europy Wschodniej, w których dystrybuuje się szkodliwe oprogramowanie i czerpie zyski z prowizji od każdego zainfekowanego punktu końcowego.

Jak dotąd nie jest to nic nadzwyczajnego – niestety, każdego dnia jesteśmy świadkami tego rodzaju praktyk. Nowością w przypadku BoteAR jest to, że próbuje on chronić się pod płaszczykiem bezpieczeństwa i "brata" się ze społecznością internetową.

"Zabezpiecz się przed botnetami: przejmij kontrolę nad zdalnymi maszynami i kontroluj działania użytkowników". Chwileczkę, jest coś, czego nie rozumiem! Czy to jest aplikacja bezpieczeństwa, która pozwala na zatrzymanie lub złagodzenie skutków ataku botnetu? Oczywiście, że nie! Według autora zadaniem botnetu jest wykorzystywanie trojana do kradzieży informacji innych użytkowników. Obrazek poniżej odnosi się do witryny internetowej BoteAR – opisującej (w języku hiszpańskim) niektóre funkcje szkodliwej aplikacji:

Sprawdźmy każde z założeń (oznaczone powyżej czerwonymi ramkami) i wykażmy, dlaczego ich działania są szkodliwe:

  1. "Przejmij kontrolę nad zdalnymi maszynami i kontroluj działania użytkowników": dostęp do systemu bez odpowiedniego upoważnienia lub akceptacji właściciela systemu jest niezgodny z prawem i jest aktem przestępstwa. Działanie takie, klasyfikowane jako "nieupoważniony dostęp", jest karalne w większości krajów, które posiadają uregulowane prawnie kwestie przestępczości komputerowej – niezależnie od środków technologicznych i pobudek, z jakich podejmowane jest samo działanie.
  2. "Usługa BoteAR jest darmowa, a odpowiedzialność za jej używanie leży po stronie użytkownika": chcę powiedzieć nieco więcej w tym punkcie, ponieważ wielu czytelników z pewnością ożywi dyskusja o odpowiedzialności, która powinna dotknąć twórców tego rodzaju złośliwych aplikacji, i będą oni argumentować, że przecież "nóż może być używany do ranienia ludzi, ale i do krojenia chleba". Jest to prawdą. Ale w tym przypadku działanie przestępców jest wysoce amoralne. Moralność jest częścią zwyczajowego prawa społecznego, a w tym przypadku mamy działanie na szkodę społeczeństwa. Oczywiście, osoba nie jest zobowiązana do przestrzegania zasad moralnych, ale powinna przestrzegać prawa karnego. Autor tego "programu" wyraźnie nie respektuje litery prawa. I mam tutaj na myśli zachowanie człowieka, którego nie należy mylić z działaniami programu komputerowego. Wracając do analogii z nożem – w tym przypadku wyraźną intencją autora jest kradzież, a nie pomoc użytkownikom w ochronie danych.
  3. "[...] umożliwia zdalne kontrolowanie wszystkich działań prowadzonych na Twoim własnym botnecie, ale aby ustanowić połączenie z maszynami zombie, musisz najpierw zainstalować agenta JavaScript (trojan) na żądanej stronie internetowej [...]": z definicji, malware to szkodliwe oprogramowanie, w dzisiejszych czasach najczęściej wykorzystywane do wykradania informacji bankowych. Trojan to właśnie maleware.
  4. "Zdalny komputer, zdalne obejście zabezpieczeń, kradzież poświadczeń, ataki SQLi, XSS i DoS": różne typy ataków, które podlegają sankcjom karnym, przynajmniej w Argentynie (gdzie rezyduje autor BoteAR), a kradzież danych logowania wpisuje się w kryminalny proceder kradzieży tożsamości.

Choć na razie pomysł "legalnych" ataków zbytnio się nie rozprzestrzenił, to prawdopodobnie wkrótce zyska wielu zwolenników. Autor BoteAR nie zawaha się "wybielić" czynów swoich klientów, ponieważ pozyskują oni dane publicznie dostępne. Autor jest jak Poncjusz Piłat – umywa ręce od odpowiedzialności za „niewłaściwe” użycie botnetu. Pytanie tylko, czy w ogóle może on zostać użyty „właściwie”? Czy jakikolwiek botnet może?

Mimo wszystko, nadal uważam, że autor BoteAR jeszcze nie rozpatrzył wszystkich konsekwencji prawnych i rzeczywistego wpływu jego działań na ogół społeczeństwa. Więc lepiej zawczasu przeciwdziałać, czy raczej, ostrzegać – zanim jakiś nieświadomy dzieciak ukradnie czyjeś dane logowania do elektronicznego kanału bankowego w Argentynie lub w innym kraju, gdzie jest to surowo karane, lub pokusi się na atak DDoS wymierzony w serwer jakiejś potężnej korporacji.

Komunikacja pomiędzy zainfekowanymi komputerami i centrum kontroli odbywa się za pośrednictwem trojana służącego jako backdoor, napisanego w JavaScript i wykrywanego przez oprogramowanie Kaspersky Lab jako Backdoor.JS.Agent.c. Poniżej znajduje się bieżący rozkład geograficzny zagrożenia:

Poniższy obraz przedstawia część kodu złośliwego agenta. Oczywiście tekst nie wymaga wielu wyjaśnień: istnieją funkcje, które dają możliwość interakcji prowadzących do ataków phishingowych. Ale należy mieć na uwadze, że ataki phishingowe to nie wszystko, do czego przeznaczona jest ta szkodliwa aplikacja – oprócz wielu różnych działań potrafi ona, między innymi, zdalnie sterować komputerem za pomocą przeglądarki internetowej i uruchamiać exploity (w tym exploity 0–day).

Podzielam pogląd, że rzeczywiście za tymi działaniami idzie ogromny wysiłek. Czynnikiem o istotnym znaczeniu jest prawdziwa motywacja twórców szkodliwego oprogramowania – poza opracowaniem schematu działania złośliwego oprogramowania – zadają sobie oni trud dotarcia do ludzi i pod pretekstem bycia "bardziej społecznymi" nakłaniają do bardziej cywilizowanego postępowania – obojętne, czy podczas sprzedaży, czy kradzieży. Ale to ciągle jest cyberprzestępczość...