Władca cyberprzestępczego podziemia

Najróżniejsze złośliwe programy mają to do siebie, że pojawiają się i znikają – jednego dnia święcą tryumfy i masowo infekują komputery na całym świecie, zaś po miesiącu czy roku znikają w odmętach niepamięci. Niewiele jest szkodliwych programów, które pozostają aktywne przez lata, cały czas skutecznie robiąc to, do czego zostały stworzone – siejąc zniszczenie i wykradając informacje. Najważniejszy z tej elitarnej grupy przybrał imię greckiego boga – Zeusa.


Być może miano to zostało wybrane nieprzypadkowo, bowiem Zeus (przez niektórych zwany również Zbotem) od samego początku jest klasycznym… koniem trojańskim, czyli złośliwym programem, którego zadaniem jest zainfekowanie systemu będącego celem i umożliwienie nieautoryzowanym osobom dostępu do tegoż systemu. Tak w każdym razie było w 2007 roku, kiedy to prawdopodobnie stworzony został bohater naszego tekstu. Pierwsze doniesienia o Zeusie pojawiły się niespełna 7 lat temu, gdy okazało się, że w komputerach urzędników amerykańskiego Departamentu Transportu zainstalowane jest tajemnicze złośliwe oprogramowanie umożliwiające wykradanie z nich poufnych danych. Wtedy nikt jeszcze nie przeczuwał, że oto w sieci zadebiutował szkodnik, o którym w kolejnych latach pisać i mówić się będzie częściej niż o jakimkolwiek innym złośliwym programie w historii. Zeus wydawał się „jeszcze jednym typowym trojanem”, jakich wiele pojawia się w internecie każdego roku.

Jak się bronić?

Kilkakrotnie wspomnieliśmy, że Zeus jest wyjątkowo nowatorskim i nietypowym złośliwym programem – faktem jednak jest, że metody zabezpieczania się przed nim są dość standardowe:

  • regularnie instaluj aktualizacje oprogramowania (systemu oraz aplikacji)
  • korzystaj z oprogramowania zabezpieczającego – antywirus i firewall to zestaw minimalny
  • reaguj w przypadku odnotowania dziwnych zachowań systemu – wiele trojanów (w tym Zeus) próbuje np. zablokować dostęp użytkownika do Menedżera Zadań lub aplikacji zabezpieczających
  • nigdy nie otwieraj załączników do podejrzanych e-maili
  • bądź czujny – nie ufaj podejrzanym komunikatom na stronach i e-mailom z banku (w razie wątpliwości lepiej zadzwoń na infolinię)

Wystarczyły jednak dwa lata, by o Zeusie/Zbocie znów zrobiło się głośno – w 2009 roku specjaliści z amerykańskiej firmy Prevx opublikowali raport, z którego wynikało, że zmodernizowana wersja Zeusa zdołała zainfekować systemy i witryny ponad 70 tys. firm i instytucji z całego świata. I to nie byle jakich firm – wśród ofiar ataku wymieniano m.in. NASA, Oracle, Cisco, Amazon czy Bank of America.

Wtedy też po raz pierwszy specjaliści ds. bezpieczeństwa zorientowali się, że nie mają już do czynienia z typowym koniem trojańskim, napisanym z myślą o atakowaniu pojedynczych celów. Zeus okazał się jednym z pierwszych programów, którego podstawowym zadaniem zaczęło być nie tylko zarażanie komputerów po to, by wyciągać z nich poufne dane (np. hasła, loginy, numery kary), ale także infekowanie jak największej liczby maszyn po to, by łączyć je w sieci komputerów-zombie i wykorzystywać taką sieć (zwaną botnetem) do innych przestępczych działań.

Typowy scenariusz ataku Zeusa wyglądał tak: do potencjalnej ofiary trafiał e-mail z załącznikiem – z treści wiadomości wynikało, że w załączonym pliku znajdują się ważne dla odbiorcy informacje. Otwarcie załącznika powodowało uruchomienie się złośliwego kodu, który próbował zainstalować w systemie Zeusa – zwykle z wykorzystaniem luk w aplikacji Adobe Reader, Adobe Flash, Javie lub MS Office.

Produkt najwyższej jakości

Tym, co od początku wyróżniało twórcę (lub twórców – do dziś nie ustalono jego/ich tożsamości) Zeusa, był fakt, iż takie ataki były zawsze doskonale zaplanowane. E-maile formułowano tak, że wyglądały na stuprocentowo bezpieczne i godne zaufania, a zastosowane w załącznikach exploity działały znakomicie i często korzystały z luk zero-day (czyli takich, na które producent nie udostępnił jeszcze poprawki). Przed takim atakiem niedoświadczony użytkownik (a i wielu doświadczonych) praktycznie nie miał jak się bronić...

Panel kontrolny oprogramowania do zarządzania botnetem Zeus – fot. Laboratoriomalware.blogspot.com.

Panel kontrolny oprogramowania do zarządzania botnetem Zeus – fot. Laboratoriomalware.blogspot.com.

Skuteczne zainstalowanie Zeusa skutkowało uaktywnieniem się w systemie keyloggera, który od tej pory zaczynał nieustannie monitorować, jakie witryny odwiedza użytkownik i jakie znaki wprowadza za pomocą klawiatury – w ten sposób osoba kontrolująca trojana była w stanie bez problemu „wyciągnąć” z systemu np. numery kont i kart kredytowych, hasła dostępu do e-banku, systemu, usług online i inne dane.

Jako że w wielu amerykańskich bankach jeszcze kilka lat temu zabezpieczenia w bankach internetowych były raczej symboliczne (do wykonywania dowolnych transakcji wystarczyło podanie podstawowego loginu i hasła), to dane zbierane przez Zeusa z powodzeniem wystarczały do skutecznego „czyszczenia” kont klientów takich banków.