Clampi - wielki, złodziejski botnet?

W Internecie działa nieznany do tej pory, gigantyczny i świetnie zamaskowany botnet, wykorzystywany przez przestępców do masowego wykradania poufnych danych - m.in. informacji niezbędnych do logowania się do e-banków oraz numerów kart płatniczych. Wykrył go znany specjalista od sieci zombiePC, Joe Stewart (szef działu badań firmy SecureWorks), który twierdzi, że "Clampi to prawdopodobnie najbardziej profesjonalnie napisany złośliwy kod, jaki kiedykolwiek powstał".

Clampi to botworm - czyli program, zmieniający zainfekowane przez siebie komputery w elementy botnetu (sieci komputerów zdalnie kontrolowanych przez przestępców). Stewart szacuje, że szkodnik mógł zainfekować nawet milion komputerów na całym świecie (na razie trudno oszacować dokładną liczbę - specjalista mówi, że zawiera się ona między 100 tys. a 1 mln.).

Jego zdaniem, Clampi jest najlepiej napisanym botwormem, jaki do tej pory pojawił się w Sieci - jest wyposażony w zestaw zupełnie unikalnych funkcji, doskonale ukrywa się przed użytkownikiem oraz oprogramowaniem zabezpieczającym. Co więcej - potrafi wykradać dane niezbędne go logowania się do ponad 4,5 tys. różnych stron (serwisów bankowych, finansowych, e-sklepów itp.). "To porażająca liczba - zwykle takie programy próbują przechwytywać dane logowania dotyczące 20, czasami 30 stron" - tłumaczy Stewart (który zdołał zidentyfikować już ok. 1/3 tych witryn).

Clampi najczęściej pojawia się w komputerze w postaci zainfekowanego załącznika do wiadomości e-mail (choć odnotowano również przypadki infekowania systemu za pośrednictwem odpowiednio spreparowanej strony WWW). Po zainstalowaniu systemu Windows trojan zaczyna sprawdzać, jakie strony są wyświetlane w przeglądarce - jeśli będzie to jedna z 4,5 tys. "obsługiwanych" przez niego witryn, natychmiast zacznie zapisywać nazwy użytkownika, hasła, PIN-y itp.

Co pewien czas szkodnik kontaktuje się z serwerem kontrolnym i przekazuje tam przechwycone dane - z analiz przeprowadzonych przez SecureWorks wynika, że przestępcy błyskawicznie wykorzystują do informacje do wykradania pieniędzy z kont.

Ten opis pasuje do wielu podobnych aplikacji - ale Stewart podkreśla, że Clampi jest wyjątkowy. Choćby dlatego, że korzysta z wielowarstwowego szyfrowania oraz niezwykle skutecznych metod maskowania swojej obecności w systemie - to właśnie dzięki temu jego twórcom udało się praktycznie niepostrzeżenie zbudować jeden z większych botnetów.

Specjalista mówi, że na pierwszy trop nowego, wielkiego botnetu wpadł już w 2007 r. - ale dopiero w tym roku udało mu się "rozpracować" nowe zagrożenie. Nie było to łatwe, bo Clampi jest niezwykle skomplikowanym botwormem - zaszyfrowane są nie tylko dane, które "szkodnik" wysyła i odbiera od serwera kontrolującego, ale także elementy jego kodu. Co więcej - jego autor (lub autorzy) wykorzystał 448-bitowe szyfrowanie algorytmem Blowfish. Clampi ma jeszcze jedną, dość nietypową właściwości - składa się z kilku oddzielnych komponentów (ich liczba jest różna - waha się od 4 do 7), przechowywanych w różnych lokalizacjach w systemie. Zdaniem Stewarta, to właśnie dzięki temu tak trudno go wykryć standardowymi narzędziami antywirusowymi.

Na tym nietypowe cechy botworma się nie kończą; programy wyspecjalizowane w wykradaniu haseł zwykle kradną przede wszystkim dane niezbędne do zalogowania się do e-banków oraz informacje o kartach kredytowych. Clampi działa znacznie szerzej - oprócz danych kont oraz kart płatniczych przechwytuje loginy i hasła do tysięcy różnych serwisów - m.in. witryn przeznaczonych dla żołnierzy, serwisów finansowych, ubezpieczeniowych, kasyn internetowych, sieci reklamowych. "Szkodnik" nie ogranicza się do jednego czy dwóch krajów - z analiz przeprowadzonych przez Stewarta wynika, że Clampi obsługuje strony z 70 różnych krajów. "Samo to świadczy o tym, na jak gigantyczną skalę prowadzona jest ta operacja przestępcza" - mówi specjalista.

Na razie nie wiadomo, kto jest autorem i operatorem botnetu Clamp - Joe Stewart twierdzi, że wszystkie tropy prowadzą do Rosji lub jednego z krajów Europy Wschodniej. "Wygląda na to, że botnet kontrolowany jest przed jedną, konkretną grupę, która - co ciekawe - wydaje się działać w totalnej izolacji od innych podobnych formacji przestępczych. Oni nie udzielają się na forach odwiedzanych przez cyberprzestępców - wydaje się, że nawet ich konkurenci nie bardzo wiedzą, z kim mają do czynienia" - wyjaśnia specjalista.

Stewart mówi też, że jest bardzo prawdopodobne, iż nigdy nie uda się namierzyć osób kontrolujących ten botnet - choćby dlatego, że przestępcy są wyjątkowo ostrożni. Przejawia się to choćby tym, że serwery wykorzystywane do zarządzania siecią nie są hostowane w żadnej firmie (operatorzy botnetów najczęściej namierzani są właśnie przez powiązania z serwerami "dowodzącymi" - dane rejestracyjne, numery kont, z których opłacano hosting itp.). W przypadku Clampi jest zupełnie inaczej - rolę serwerów pełnią komputery zwykłych internautów, które zdołał zainfekować Clampi.

Wiadomo, że twórcy botnetu świetnie na nim zarabiają - w ubiegłym tygodniu okazało się, że z konta pewnej amerykańskiej firmy w tajemniczych okolicznościach zniknęło 75 tys. USD. Specjaliści ds. bezpieczeństwa ustalili, że w komputerach należących do tej firmy był właśnie Clampi - pieniądze ukradli operatorzy botnetu, którzy dzięki "szkodnikowi" zdobyli dane niezbędne do zalogowania się do banku. A takich przypadków z pewnością było znacznie więcej.


Zobacz również