Pe urmele Mafiei de pe Internet
Dintr-o dată, suntem în mijlocul unui forum de hackeri. Lumea interlopă rusească se întâlneşte aici – Mafia internetului. Ne-a luat un moment să ne dezmeticim, iar apoi am descoperit ceea ce ne interesa: între caractere chirilice am recunoscut screenshot-uri, liste de preţuri şi contacte ICQ. Această piaţă neagră online oferă tot ceea ce nu este vândut pe eBay: troieni, boţi, date de autentificare, numere de cărţi de credit şi, evident, parole.
Comerţul de pe internet: cum comunică lumea interlopă pe internet
Ne-am propus să intrăm în cele mai întunecate colţuri ale internetului, unde crima organizată îşi face afacerile. Căutarea celor implicaţi în acest gen de afaceri care valorează milioane începe într-un forum aparent inofensiv fiindcă cele mai importante locuri de întâlnire ale mafiei internetului sunt site-urile accesibile tuturor, în mod special forumurile. Aceste prime adrese trebuie cunoscute, celelalte fiind legate de ele. Rapid, cineva va găsi pagini precum Carder-Biz, Anti-Chat şi Zloy. Toţi cei implicaţi se întâlnesc aici, schimbă informaţii despre scurgeri de informaţii şi îşi oferă produsele şi serviciile.
Apoi totul se pune în mişcare. Dacă un forum din acesta nu mai este dintr-o dată accesibil, răsar alte două care îi iau locul. Rapid, devine evident că, indiferent de unde eşti, peste tot dai peste aceleaşi nume. De exemplu, Infected Team îşi oferă reţeaua sa de boţi pentru spam şi atacuri. Între timp, această echipă s-a bucurat de un succes atât de mare încât a ajuns să aibă şi un site. Alţii în schimb sunt mulţumiţi doar cu o contribuţie pe respectivul forum, care este repetată pe internet de sute de ori prin Copy şi Paste. De exemplu hackerul Morozov, care oferă kit-ul de creare al troienilor Power Grabber. El îşi face reclamă printr-un screenshot şi o scurtă descriere a parazitului său specializat în online banking alături de numărul său de ICQ. Oricine vrea să facă afaceri cu el trebuie să cunoască aceste detalii într-o eventuală convorbire. Chat-ul este foarte popular pe această scenă, în special ICQ.
Protocolul ICQ permite folosirea proxyurilor de tip Socks şi aceasta asigură anonimatul. Astfel apar două ramuri ale acestui business. De aceea vizitatorii forumului Nomerkov s-au specializat în a procura în cel mai scurt timp posibil numere de ICQ „de aur” pentru că, la fel ca şi un număr de telefon, unul de ICQ scurt este mai uşor de ţinut minte. În acest fel, hackeri precum Komarik şi Krockus încearcă să procure parolele unor astfel de conturi de ICQ cu ajutorul unor instrumente precum Malefic Brute. Pentru preţuri între 7 şi 70 de dolari pentru fiecare „spargere reuşită”, este într-adevăr o afacere profitabilă. În orice caz, şi „spărgătorii de ICQ” au de făcut cheltuieli pentru că sunt dependenţi de operatorii de reţele de boţi şi de sistemele lor zombie, care pot fi închiriate. De exemplu, echipa Fraud Crew oferă pentru o taxă lunară de 70 de dolari acces la o reţea de aproximativ 700 de computere. Un spărgător de ICQ are nevoie de aceasta pentru că după doar câteva autentificări eronate de pe aceeaşi adresă IP serviciul ICQ blochează accesul acelui calculator. Cu o reţea de 700 de proxy-uri, atacul de tip Brute Force poate fi uşor distribuit pe mai multe conturi şi mai multe adrese IP.
--------------------------------------------------------------------------
IATĂ CUM FAC PHISHER-II ROST DE BANII DUMNEAVOASTRĂ
Primul pas al reţelei de phishing este să spioneze datele contului şi să angajeze instituţii financiare ca intermediari, către care sunt transferaţi mai târziu banii victimei phishing-ului.
Complicele
Instituţiile financiare primesc instrucţiuni să transfere cea mai mare parte a banilor către conturi din străinătate. Pot să păstreze restul drept comision.
Spălarea banilor
Banii sunt transferaţi printr-o serie de conturi din străinătate şi furnizori ePayment şi în cele din urmă sunt retraşi cash.
--------------------------------------------------------------------------
Pe cont propriu: kit-uri de creare a troienilor
Faptul că Mafiei internetului îi place să se întâlnească pe web şi să facă schimb de cunoştinţe are raţiunile sale, cea mai importantă fiind diviziunea muncii. În locul muncii de creare şi organizare a unei echipe, mafioţii preferă voluntarii. În acest fel există specialişti pentru fiecare domeniu, de exemplu studenţii la informatică. Aceştia câştigă ca mână de lucru pentru Mafia internetului mult mai mult decât în orice altă slujbă de student. Un zvon zice chiar că sunt vânaţi de pe băncile facultăţii pentru a programa troieni.
Investigaţia noastră a scos la lumină faptul că favoritul phisher-ilor este kit-ul Pinch 3. Setul de creare a troienilor produce un spion mic, dar puternic. Dacă cineva rulează acest executabil, sunt citite toate parolele şi sunt trimise înapoi hackerului via e-mail sau http. Dar acest tip de kit-uri de creare a troienilor au un mare dezavantaj pentru phisher-i deoarece instrumentele de spionaj generate în această manieră sunt mai mult sau mai puţin similare. Este foarte uşor pentru companiile de securitate să creeze o semnătură care va recunoaşte sute de variante ale aceluiaşi troian. În jargonul acestor forumuri, astfel de troieni sunt numiţi „burned”. Totuşi, hackerii nu sunt impresionaţi de acest lucru. În loc să descrie troienii pentru a scăpa de detecţie, sunt dezvoltaţi „downloader-i” şi „dropper”-i.
Singura sarcină a acestor mici programe este de a descărca parazitul real. La ora actuală, cel mai mic astfel de program are doar 474 de bytes – jumătate dintr-un document Word gol. Unui astfel de program îi sunt adăugate adeseori funcţii cu ajutorul cărora sunt dezactivate aplicaţiile de securitate (firewall, antivirus). Pentru a fi siguri că aplicaţiile downloader nu sunt detectate foarte repede, forumurile cunosc o explozie a ofertelor de packer-e de executabile şi de aplicaţii de criptare a executabilelor. Pentru hackeri nu are importanţă că aceste aplicaţii fac malware-ul mai mic în dimensiuni. Pentru ei este important că prin compresia şi criptarea acestor fişiere se schimbă şi semnăturile lor. Metoda are un succes atât de mare încât companii precum Symantec par a fi forţate să se distanţeze de detecţia bazată pe semnături şi să folosească tehnici noi, de exemplu analiza bazată pe comportamentul aplicaţiei. Cu ajutorul acestei tehnici de exemplu un program de securitate identifică un downloader când acesta încearcă să dezactiveze firewall-ul, iar apoi, la câteva secunde după, încearcă să descarce al doilea program de pe internet. Din această experienţă un singur lucru poate fi scos în evidenţă: kiturile şi uneltele de creare a troienilor au devenit din ce în ce mai profesionale. Chiar şi experţii au dificultăţi în a diferenţia între aplicaţii „bune” şi „rele”. Cele mai simple instrumente pentru atac sunt încă aşa-numitele Joiners. Un joiner este un program care împachetează fişiere inofensive, în special imagini sau glume software, împreună cu troieni. Deschizând un astfel de „pachet”, în cel mai scurt timp vă faceţi calculatorul disponibil către mafioţii online.
Nu este dificil să cumperi troieni. Tot ce are de făcut o echipă de hackeri este să stabilească necesităţile şi poate porni imediat la drum. Dar cum plăteşti pentru aceste aplicaţii? Să luăm exemplul troianului menţionat mai înainte, Power Grabber. După descrierea sa, această aplicaţie poate detecta nedescoperită parole în timpul sesiunilor, de exemplu, de online banking. Ofertantul este contactat prin ICQ. La început, acesta este suspicios şi vrea să afle de unde a fost aflat numărul lui de ICQ. După referinţa la un forum, este primit un al doilea număr de ICQ. În această a doua convorbire se trece la subiect. Troianul în discuţie este destul de vechi: şi hackerul şi cumpărătorul ştiu acest lucru. Singura noutate pe care o poate aduce o nouă versiune a acestui troian este o semnătură schimbată printr-un encrypter. După ce fiecare parte trage înspre ea de preţ, se ajunge la o sumă de 300 de WBZ (citeşte dolari). Sub titulatura de WBZ se ascunde valuta serviciului de e-payment web MoneyTransfer, foarte popular în lumea interlopă şi care oferă o rată de 1:1 pentru dolar. Ofertantul trimite numărul contului către potenţialul cumpărător şi dacă acesta efectuează plata, troianul este primit prin intermediul unui portal rusesc de download-uri - similar cu rapidshare - sub forma unei arhive RAR criptate.
Afacerile cu malware: hackerul rămâne anonim
Este posibil să găseşti un hacker folosind numărul contului său? Probabil că nu. Un cont pe Web Money pare la prima vedere destul de vizibil. Expertul în securitate Eugene Kaspersky ne schiţează fluxul tipic al unei astfel de tranzacţii. Pentru a nu fi direct legaţi de malware, hackerii angajează un intermediar. De obicei, acesta este angajat printr-un mesaj e-mail în care îi este promisă o slujbă parttime foarte lucrativă. Tot ce trebuie să facă acesta este să gestioneze un cont şi să transfere banii care vin în alt cont. Pentru acest lucru, intermediarul primeşte un comision, de obicei un procent de o singură cifră. Contul în care sunt transferaţi banii este de obicei creat de hacker sub un nume fals într-o altă ţară. Profitul este retras sub formă de cash de la un bancomat. Aproape acelaşi tipar este folosit şi în cazul atacurilor de tip phishing. Dacă un atacator reuşeşte să primească informaţii precum PIN-ul sau numărul de cont, banii sunt transferaţi via online banking către unul sau mai muţi intermediari. Aceştia la rândul lor transferă banii către mai multe conturi care aparţin phisher-ilor. Adevărata anvergură a acestor activităţi iese la lumină în momentul în care suntem atenţi nu doar la numărul celor care postează pe aceste forumuri, ci şi la reclame şi la numărul site-urilor afiliate cu forumul respectiv. Pentru că odată ce o reţea de boţi este creată, ea poate fi folosită pentru mai mult decât doar atacuri către alţi utilizatori ai internetului şi furtul datelor lor. Pe un astfel de forum pot fi întâlnite şi reclame ale unor dealer-i de trafic. Există două variante: în prima se vinde trafic. Dacă un site abia are câţiva vizitatori şi metodele legale de optimizare nu au succes în a îmbunătăţi ranking-ul Google, de aici pot fi cumpărate „vizite” şi clicuri. Administratorii de reţele de boţi pornesc un adevărat atac asupra blogurilor şi forumurilor cu comentarii şi linkuri către respectivul site, al căror rol ar trebui să fie să atragă vizitatori.
A doua variantă: se cumpără trafic. Pe numeroase site-uri web pot fi întâlnite reclamele echipelor de phisher-i care sună ceva de genul: dacă adăugaţi în paginile site-ului dumneavoastră un aparent inofensiv iFrame, sunteţi plătit pentru fiecare vizitator. Afacerea este destul de periculoasă şi aproape deloc profitabilă. Pentru o mie de vizitatori pe zi, un proprietar de site primeşte în jur de 25 de cenţi. Micul site din iFrame conţine în special download-uri periculoase sau adware şi, cu toate protestele celor care au acceptat această afacere, oferta pare a fi legală şi complet inofensivă. Unii operatori de site-uri porno, pierduţi în largul internet, apelează de asemenea la mafioţi şi la reţelele lor de boţi. Ei oferă o răsplată pecuniară pentru ca victimele infectate să fie redirectate către site-uri pornografice. De asemenea, victimele infectate au „plăcerea” de a viziona reclame la pornografie pe orice site pe care navighează pe lângă şi aşa numeroasele alte forme de reclamă.
Eminenţa cenuşie – cine se află în spate?
Cine este în spatele acestor afaceri este de departe întrebarea cheie. Chiar şi experţi care au lucrat ani de zile în acest domeniu nu pot răspunde satisfăcător la această întrebare. Unii sugerează că Mafia rusească este în spatele tuturor, iar alţii vor să creadă în teoria conspiraţiei şi sugerează că angajaţi ex-KGB sunt în spatele afacerii. Dar totul rămâne şi la ora actuală un mister.
ATACURI PE INTERNET
Mafiei nu îi este frică de nimic, nici pe internet. Atacurile sunt rare, dar foarte serioase. Arma crimei este de obicei o reţea de boţi.
Distributed Denial of Service
Un singur calculator nu poate provoca nici un fel de pagube. Însă, în reţelele sale de boţi, Mafia internetului controlează mii de calculatoare. O singură comandă şi boţii bombardează cu cereri victima atacului. Astfel se ajunge la cantităţi imense de date care sunt imposibil de gestionat de către destinatarul atacat. Într-un atac asupra serverelor DNS root (responsabile cu menţinerea corespondenţei dintre adresa IP şi numele de domeniu), au fost măsurate valori mai mari de 900 de MB pe secundă.
catalina_lazar@chip.ro
Articol preluat din Chip.ro
Postări
