Microsoft płaci "za głowy" cyberprzestępców

Microsoft wyznaczył wysoką nagrodę pieniężną za pomoc w ujęciu operatorów botnetu Rustock. Czy tym razem ktoś skusi się na 250 tys. dolarów?

Botnet Rustock jeszcze na wiosnę 2011 r. obejmował swoim zasięgiem ok. 1,6 miliona zainfekowanych, pracujących pod kontrolą systemów Windows komputerów na całym świecie (tzw. zombie PC). Operatorzy botnetu posługiwali się maszynami do wysyłania gigantycznych ilości spamu - liczba niechcianych wiadomości rozsyłanych przez komputery w sieci Rustock szacowana była na 30 miliardów maili dziennie. W pewnym momencie Rustock odpowiedzialny był za generowanie niemal 90 % światowego spamu.

Eksperci zajmujący się zwalczaniem spamu i botnetów próbowali wyeliminować Rustocka już od kilku lat. Udało im się co prawda znacząco zmniejszyć liczbę komputerów wchodzących w skład botnetu (w maju 2010 było to 2,5 mln maszyn), ale już w zakresie ograniczenia ilości wysyłanego spamu nie osiągnięto sukcesów.

Pod koniec 2010 r. specjaliści ds. bezpieczeństwa przeprowadzili - jak się później okazało nieudaną - akcję przeciwko botnetowi. Ilość spamu początkowo gwałtownie spadła, jednak z początkiem 2011 r. zanotowano ponowny jej wzrost. Administratorom Rustocka udało się znaleźć sposób na odbudowanie pozycji botnetu.

"Nosił wilk razy kilka..."

Powinniśmy raczej powiedzieć - udało im się tym razem. Bo w marcu br. spadł na nich kolejny cios: akcja o kryptonimie "Operation b107", przeprowadzona we współpracy kilku departamentów Microsoftu (Malware Protection Center, Digital Crimes Unit, Microsoft Active Response for Security) i międzynarodowych organów ścigania. W jej wyniku podjęto działania przeciw pięciu amerykańskim dostawcom hostingu i odizolowano centra dowodzenia (serwery "command and control") botnetu, zakłócając komunikację między nimi, a pecetami zombie.

W ten sposób botnet skurczył się z 1,6 mln w marcu br. do ok. 700 tys. maszyn, których system operacyjny Windows został zarażony robakiem Rustock (stan na czerwiec).

Kolejny krok w walce z botnetem to wyznaczenie nagród za informacje mogące doprowadzić do ujęcia twórcy lub twórców tej szkodliwej sieci. Richard Boscovich, prawnik działający we wspomnianej komórce Microsoft Digital Crimes Unit uważa bowiem, że miejscem pobytu operatorów botnetu są rosyjskie miasta - Moskwa lub St. Petersburg.

Tak powstają i działają botnety:

Poszukiwany, poszukiwana

Koncern z Redmond uruchomił program nagradzania za informacje o cyberprzestępcach w 2003 r. (w listopadzie owego roku koncern przeznaczył na ten cel kwotę 5 mln USD). W niespełna ośmioletniej historii projektu nagrody "za głowy cyberprzestępców" (za każdym razem w wysokości 250 tys. USD) ogłaszane były pięciokrotnie. Niestety - jak pokazuje doświadczenie - nie okazały się zbyt skuteczną metodą na postawienie sieciowych oszustów przed obliczem sprawiedliwości.

Sztuka ta udała się jak dotąd tylko raz, w 2004 r., gdy dzięki wskazówkom przekazanym przez dwóch informatorów zatrzymany został Sven Jaschan, twórca robaka Sasser.

Finansowa zachęta Microsoftu okazała się zaś niewystarczająca np. do ujęcia twórców robaków Mydoom.B, Sobig, Blaster i Conficker. Ten ostatni, znany też jako Downadup, był źródłem poważnej wirusowej epidemii na przełomie 2008 i 2009 r.

Przesłanki by sądzić, że w wypadku Rustocka będzie inaczej, są dość wątłe.

Botnety zamknięte, przestępcy nieuchwytni

Richard Boscovich, prawnik Microsoftu zadeklarował, że koncern nie ustanie w działaniach mających na celu zidentyfikowanie osób odpowiedzialnych za funkcjonowanie Rustocka, nawet gdyby ogłoszenie nagrody "za ich głowy" nie przyniosło żadnych rezultatów.

Historia jasno dowodzi jednak, że wyznaczanie nagród "za głowę" cyberprzestępców nie przynosi oczekiwanych rezultatów. Oszuści po prostu dobrze się ukrywają - ich wykrywalności z pewnością nie utrudnia żadna "zawodowa solidarność" członków sieciowych gangów. "Internetowe podziemie przestępcze - tak jak normalne przedsiębiorstwa - opiera swoją działalność na zaufaniu. Jeśli wyjdziesz przed szereg by zgarnąć nagrodę za wydanie kogoś z kryminalnego półświatka, zamkniesz przed sobą drzwi do dalszej 'kariery' w tym środowisku" - przekonuje Rik Ferguson, starszy doradca ds. bezpieczeństwa w Trend Micro. Poza tym nagroda 250 tys. USD może być niekiedy za niska w porównaniu z wysokością zysków, jakie notują cyber-przestępcze gangi.

Ostatnie wzmożone działania wymierzone w operatorów botnetów (m.in. Mariposa, Bredolab i Zeus - patrz ramka) uprawniają do postawienia tezy, że to właśnie z ich strony płynie największe zagrożenie dla użytkowników (zarówno indywidualnych, jak i korporacyjnych).

Botnety bez wątpienia stanowią podstawę współczesnej działalności sieciowych przestępców. Można je nazwać cyfrowym szwajcarskim scyzorykiem: kiedy już kontrolujesz botnet, możesz skutecznie różnicować swoją aktywność - ocenia przedstawiciel Trend Micro. "Spam, dystrybucja kolejnych typów złośliwego oprogramowania, oszustwa "click-fraud", ataki DDoS, wymuszenia, kradzież informacji... - wszystko to nagle staje się możliwe. Ponadto botnety dostarczają przestępcom efektywnych metod ukrywania tożsamości - zainfekowane komputery służą jako serwery proxy, dyski sieciowe czy przechowalnie nielegalnych bądź skradzionych danych" - mówi ekspert. W kategoriach infrastruktury botnety całkowicie zdominowały cyberprzestępczy krajobraz i jeszcze przez jakiś czas ten stan się utrzyma.