Gang cyberprzestępczy rozbity. "Bawili się" DNS-em i wpadli

Sukces FBI, estońskiej policji i firmy antywirusowej Trend Micro. W wyniku zakończonej niedawno operacji "Ghost Click" zamknięte zostały serwery sterujące ogólnoświatowym botnetem, zatrzymano też jego operatorów.

Funkcjonariusze Federalnego Biura Śledczego przeszukali dwa centra danych - jedno w Nowym Jorku, drugie w Chicago - czego efektem było wyłączenie ponad stu serwerów składających się na infrastrukturę C&C (ang. command and control), zarządzającą ogólnoświatowym botnetem. Działania FBI były skoordynowane z akcją służb w Estonii, które zatrzymały sześć osób podejrzanych o przestępczą działalność (siódma jest poszukiwana).

Gang działał pod przykrywką Rove Digital, "firmy-matki" dla innych spółek takich jak Esthost, EstDomains, Cernel, UkrTelegroup i innych, mniej znanych. Szefem firmy był doskonale znany organom ścigania oraz firmom z branży bezpieczeństwa IT Władimir Tsastsin - również zatrzymany. Kierowana przez niego spółka EstDomains była swego czasu największym rejestrem cyber-przestępczych stron WWW (ponad 250 tys. domen).

Władimir Tsastsin (źródło: Trend Micro)

Władimir Tsastsin (źródło: Trend Micro)

Jak powstawał botnet

Cyberprzestępcy rozpowszechniali złośliwe oprogramowanie, znane jako DNSChanger, które zgodnie z nazwą zmodyfikowało ustawienia DNS atakowanych maszyn.

Domain Name System to swego rodzaju internetowa książka telefoniczna. Zadaniem systemu jest przyporządkowywanie adresom IP nazw i dbałość o to, by użytkownicy i urządzenia posługujące się tymi nazwami trafiały do właściwych miejsc w sieci. Jeżeli serwery obsługujące DNS są źle skonfigurowane, sieć może działać nieprawidłowo, a co gorsza może być narażona na ataki zmierzające do fałszowania informacji adresowych DNS.

Szkodnik DNSCharger modyfikował ustawienia DNS na zainfekowanych komputerach, dzięki czemu przestępcy mogli kierować zaatakowanych użytkowników w wybrane przez siebie miejsca w sieci. Cyberprzestępcom udało się w ten sposób pomocą zainfekować ok. 4 milionów komputerów w ponad stu krajach z całego świata (w samych Stanach Zjednoczonych liczbę infekcji szacowano na pół miliona).

W następstwie infekcji użytkownik klikając link w rezultatach wyszukiwania był przekierowywany na inną stronę, niż chciał. Za każde takie kliknięcie przestępcy otrzymywali płatność od firmy, na której witrynę trafiał internauta. Przykładowo, osoby chcące trafić do sklepu iTunes były przekierowywane do serwisu firmy rzekomo sprzedającej oprogramowanie Apple.

Przestępcy podmieniali też reklamy wyświetlane na stronach internetowych, za co również odbierali wynagrodzenie. Na przykład osobie, która z zainfekowanego komputera odwiedzała stronę amazon.com, zamiast banera promującego przeglądarkę Internet Explorer 8 wyświetlała się reklama spółki zajmującej się e-mail marketingiem.

W niektórych wypadkach malware modyfikowało blokowało aktualizacje oprogramowania antywirusowego. Estończycy prowadzili również program afiliacyjny Nelicash, który polegał na dystrybuowaniu fałszywych antywirusów.

Zyski gangu płynące z opisywanego procederu szacowane są na co najmniej 14 milionów dolarów. Stany Zjednoczone będą wnioskować o ekstradycję zatrzymanych - grożą im kary wieloletniego więzienia.

Na tropie gangu

Operacja "Ghost Click" została przeprowadzona przy współudziale firmy Trend Micro. Spółka znalazła dowody przestępczej działalności Rove Digital już w 2006 r., jednak zdecydowała się nie publikować niektórych informacji, które mogłyby przeszkodzić w śledztwie.

Pierwszą wskazówką było odkrycie, że niektóre serwery C&C botnetu DNSChanger funkcjonowały w subdomenach Esthost.com. Np. serwer który mógł aktualizować jednocześnie wszystkie należące do szajki serwery DNS mieścił się pod adresem dns-repos.esthost.com. Z kolei codecsys.esthost.com to serwer dystrybuujący trojany udające kodeki multimedialne.

W 2009 r. Trend Micro weszło w posiadanie kopii dysków twardych dwóch serwerów C&C, które zamieniały reklamy serwowane na stronach odwiedzanych przez posiadaczy zainfekowanych komputerów. Na dyskach znaleziono m.in. publiczne klucze SSH niektórych pracowników Rove Digital, które umożliwiały im logowanie na serwerach C&C.

FBI udostępnia na swojej stronie internetowej narzędzie, za pomocą którego można ustalić, czy cyberprzestępcy nie zmienili ustawień DNS do swoich nielegalnych celów. Wystarczy podać w nim adres numeryczny używanego serwera DNS. Aby go sprawdzić, otwórz menu Start systemu Windows i w polu tekstowym uruchom/wyszukaj wpisz cmd. W otwartym wierszu poleceń wpisz ipconfig/all i poszukaj wpisu Serwery DNS.

Trend Micro bada, czy wśród zaatakowanych przez botnet krajów znajduje się również Polska.


Zobacz również