Bezpieczeństwo

Jak działa podziemny rynek - analiza zagrożeń Trend Micro

Dzisiaj do naszej redakcyjnej skrzynki mailowej nadeszło ciekawe opracowanie przygotowane przez firmę Trend Micro. Jest to zbiorcza analiza zagrożeń w sieci internetowej wraz z przykładami działalności organizacji specjalizujących się w przeprowadzaniu cyberataków.

Współpraca przestępców
Pewne organizacje wytwarzające szkodliwe oprogramowanie doprowadziły do perfekcji umiejętność wykorzystania określonych narzędzi lub technik. Jednakże nie posiadają one wyspecjalizowanych narzędzi umożliwiających tworzenie kompletnych szkodliwych pakietów. W rezultacie organizacje przestępcze coraz częściej łączą siły lub współpracują nad realizacją wspólnych celów. Na przykład znany z ataków phishingowych gang Rock Phish rzekomo współpracuje z organizacją przestępczą Asprox nad aktualizacją posiadanej technologii internetowej. Asprox jest siecią botnet, która rozsyła spam używany w atakach typu phishing. Taka współpraca umożliwia cyberprzestępcom szybsze „wprowadzanie na rynek” przynoszących profity nielegalnych działań poprzez wykorzystanie istniejących technologii innych przestępców [1].

Narzędzia pracy
W sieci dostępnych jest wiele narzędzi, które mogą być wykorzystane przez cyberprzestępców — zarówno początkujących, jak i ekspertów. Na przykład istnieje wiele narzędzi pomagających przestępcom w ukrywaniu prawdziwych adresów internetowych. W przeszłości tego typu czynności były wykonywane ręcznie z wykorzystaniem wielu dostępnych serwerów proxy. Obecnie cyberzłodzieje wykorzystują narzędzia umożliwiające automatyzację tego procesu. Jedno szczególnie łatwe w obsłudze narzędzie — XSOX — zapewnia usługi web proxy przeznaczone dla określonych lokalizacji geograficznych. Dzięki temu można uniknąć podejrzeń, ponieważ wiele instytucji finansowych sprawdza lokalizację adresów internetowych, które uzyskują dostęp do kont. Zestaw takich usług proxy kosztuje zaledwie 50 USD [2].

Kto rejestruje domeny wykorzystywane przez przestępców komputerowych? Według Briana Krebsa z Washington Post jedną z takich firm może być EstDomains Inc. „Rzeczywiście wydaje się, że przez wiele lat EstDomains była rejestratorem chętnie wybieranym przez cieszącą się złą sławą firmę Russian Business Network. Trudno było znaleźć szkodliwe strony WWW zawierające szkodliwe oprogramowanie, na przykład CoolWebSearch i inne programy szpiegujące, które nie zawierałyby rekordów wskazujących na firmę EstDomains”. Broniąc się przed oskarżeniami, dyrektor generalny firmy EstDomains Vladimir Tsastsin nazwał powiązania jego organizacji z rosyjską mafią „bzdurą” i wyjaśnił, że „projekty prowadzone przez firmę są całkowicie legalne i nie wiążą się z żadną podejrzaną działalnością”. Jednakże Spamhaus.org, organizacja zwalczająca spam, ripostuje: „przypuszczamy, że wszystkie organy ścigania posiadające oddziały zajmujące się przestępczością komputerową dysponują wieloma tomami akt dotyczących firmy Atrivo/Intercage (operatora Internetu) i jej macek, między innymi… EstDomains”. [3]”

Wysoki wynik
W ramach wyrafinowanej intrygi cybergang w Niemczech ukradł 6 mln USD z banków w czterech krajach. W centrum działalności przestępczej był rosyjski programista znany pod pseudonimem „A-Z,” autor szkodliwego programu ZeuS — aplikacji służącej do tworzenia botnetów i zarządzania nimi, którą można dostosować do własnych potrzeb. Pośród innych szkodliwych działań, ZeuS został użyty do kradzieży 1,6 miliona rekordów osób poszukujących pracy za pośrednictwem portalu Monster.com. Do kradzieży 6 mln USD wykorzystano dwie wersje programu ZeuS na dwóch etapach działań, na które składało się wysyłanie milionów wiadomości e-mail zawierających spam, gromadzenie poufnych danych pochodzących z zainfekowanych komputerów, trwająca wiele miesięcy analiza danych, następująca po tym kampania ataków typu spear phishing oraz automatyczna wypłata pieniędzy z infiltrowanych kont bankowych — każda wypłata następowała w kilka sekund po wystąpieniu zagrożenia. Nazw 20 poszkodowanych banków nie ujawniono, a A-Z i jego wspólnicy pozostają na wolności [4].

Źródła
1. Dan Goodin, The Register, “Crimeware Giants Form Botnet Tag Team, Rock Phish’s Big, Fat, Fast-Flux Network”, 2008.09.05.
2. Brian Krebs, washingtonpost.com, “Brian Krebs on Computer Security; Web Fraud 2.0: Cloaking Connections”, 19.08.2008.
3. Brian Krebs, washingtonpost.com, “Brian Krebs on Computer Security; EstDomains: A Sordid History and a Storied CEO”, 08.09.2008.
4. Byron Acohido, USA Today, “Meet A-Z: The Computer Hacker Behind a Cybercrime Wave”, 05.08.2003.
 

Komentarze

0
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.

    Nie dodano jeszcze komentarzy. Bądź pierwszy!