IRCRE201011053
اخيراً محققان امنيتي با همكاري مجريان قانون و تأمين كنندگان خدمات اينترنت توانستند مغزهاي فعال ارتش رايانه هاي خرابكار Koobface را از كار بيندازند. در اين گزارش توضيحات بيشتري را در مورد چگونگي انجام شدن اين عمليات ارائه خواهيم داد.
در آخرين ساعتهاي جمعه 21 آبان ماه، رايانهاي كه به عنوان سرور اصلي كنترل و دستور (command and control) ارتش رايانههاي خرابكار koobface شناسايي شده و براي ارسال دستورات به رايانههاي آلوده به اين ويروس، مورد استفاده قرار ميگرفت، از كار افتاد. بنا بر گفتههاي آقاي Nart Villeneuve مدير ارشد تحقيقات در شركت امنيتي SecDev Group، كه اين شركت در پروژه از كار انداختن Koobface همكاري نزديك داشته است، سرور مذكور، يكي از سه سرور مختص به koobface بوده است كه روز جمعه 21 آبان ماه توسط يك تأمين كننده خدمات اينترنت (ISP) انگليسي به نام Coreix از كار افتاده اند. وي در اينباره گفت:
" همه اين رايانه ها بر روي يك شبكه قرار داشتند و همه آنها در حال حاضر غير قابل دسترسي هستند."
بنا بر اطلاعات ارائه شده توسط Villeneuve، شركت Coreix ، سرورها را تنها بعد از آنكه محققان امنيتي با مجريان قانون انگلستان تماس گرفتند از كار انداخته است. تأمين كننده خدمات اينترنت مذكور تا كنون اطلاعاتي را در اين باره ارائه نداده است.
درست است كه از كار انداختن سرورهاي مذكور براي مدتي محدود Koobface را از كار خواهد انداخت، اما در حقيقت اتفاقات ديگري نيز در جريان است. در روند معمول، رايانههاي آلوده به Koobface به سرورهاي مياني - وبسرورهايي هستند كه حساب كاربري FTP آنها لو رفته و مورد سوءاستفاده قرار گرفتهاند – متصل ميشوند و سپس از اين طريق به سرورهاي كنترل و دستوري كه اخيراً از كار افتادهاند، هدايت ميشوند و چون اين سرورها كار نميكنند عملاً رايانههاي آلوده به ويروس مذكور دستور خرابكارانهاي براي انجام دادن ندارند.
عمليات جمعه در واقع بخشي از يك عمليات گستردهتر بود كه دو هفته پيش از آن آغاز شده بود. در واقع Villeneuve و تيمش در مورد حساب هاي FTP لو رفته به شركت هاي تأمين كننده خدمات اينترنت (ISP) مربوطه اطلاع دادند و همچنين به صورت مخفيانه به گوگل و فيس بوك در مورد هزاران حساب كاربري كه در خدمت koobface هستند، گزارش دادند.
حسابهاي كاربري فيسبوك براي هدايت قربانيان به صفحات Blogspot گوگل مورد استفاده قرار ميگرفتهاند كه آنها نيز به نوبه خود قربانيان را به وب سرورهايي كه حاوي كد خرابكار Koobface بودهاند، هدايت ميكرده اند. به قربانيان وعده يك ويدئوي جالب بر روي صفحهاي به ظاهر شبيه YouTube داده مي شده است، اما آنها ابتدا مجبور بودند يك نرمافزار مخصوص براي ديدن ويدئوي مذكور را دانلود كنند. اين نرم افزار مخصوص چيزي به جز كد خرابكار Koobface نبود.
ويروس Koobface حاوي چندين جزء است، از جمله يك كرم رايانه اي كه به صورت خودكار تلاش در آلوده كردن دوستان قرباني بر روي facebook دارد و برنامه botnet كه كنترل از راه دور رايانه قرباني را در اختيار هكرها مي گذارد.
ويروس Koobface از همان ابتدا كه بر روي فيسبوك در جولاي 2008 ظاهر شد، به عنوان يك بدافزار پولساز و پر منفعت شناخته شد. بنا بر يافتههاي محققان امنيتي، اين Botnet بيش از دو ميليون دلار در فاصله زماني ژوئن 2009 تا ژوئن 2010 براي صاحبانش درآمد غير قانوني كسب كرده است.
محققان همچنين دادههايي را نيز بر روي يك سرور مركزي ديگر كه خرابكاران آن را "the mothership" ناميده بودند و براي پيگيري حساب هاي آنها به كار مي رفت، پيدا كرده اند. اين سرور روزانه پيام هاي متني را براي چهار شماره تلفن همراه روسي ارسال و در مورد مجموع درآمد روزانه botnet به آنها اطلاع رساني مي كرده است. بنا بر اطلاعات ارائه شده توسط محققان مذكور، درآمد آنها از ضرر 1014 دلاري در 15 ژانويه تا سود 19928 دلاري در 23 مارس متغير بوده است.
پرداخت ها به صاحبان koobface توسط Paymer كه يك سرويس پرداخت الكترونيكي مشابه PayPal است، انجام شده است.
خرابكاران اينترنتي با استفاده از رايانههاي هك شده تعداد بيشتري حساب كاربري Gmail، Blogspot و فيس بوك ايجاد كرده و كلمات عبور FTP (File Transfer Protocol) بيشتري را سرقت ميكردهاند. آنها همچنين نتايج جستجوي اينترنتي رايانههاي قرباني را طوري دستكاري ميكرده اند تا آنها را براي كليك كردن بر روي لينكهاي تبليغاتي فريب دهند و از اين طريق نيز درآمد ديگري را كسب كنند. البته بيشترين درآمد Koobface از يك آنتي ويروس جعلي بوده است كه آن را مخفيانه بر روي رايانه قربانيان نصب ميكرده است. اگر بخواهيم دقيقتر صحبت كنيم بايد بگوييم بيش از نيمي از درآمد koobface در اين مدت (بيش از يك ميليون دلار) از آنتي ويروس جعلي و نيمي ديگر از درآمد تبليغات آنلاين بوده است.
آقاي Villeneuve در گزارش خود اشارهاي به هويت خرابكاران پشت صحنه koobface نكرده است ولي عقيده دارد كه حداقل يكي از اعضاي koobface در سن پطرزبورگ ساكن است.
نكته جالب ماجرا اين است كه گردانندگان Koobface مي توانستند حسارتهاي بيشتري به بار آورند، براي مثال به حسابهاي بانكي نفوذ كنند و يا به سرقت شماره كارتهاي اعتباري و كلمات عبور بپردازند، ولي اين كار را نكرده اند.
در گزارش Villeneuve آمده است:
" خرابكاران Koobface داراي يك سري قوانين و محدوديتهاي اخلاقي بودهاند. آنها با محققان امنيتي ارتباط برقرار كرده و ادعا كردهاند كه قصد ندارند خسارتهاي سنگين به بار آورند. آنها جرائم خود را به كلاهبرداريهاي كوچكي محدود كرده بودند كه داراي محدوده و مقياس بزرگي بود. نكته رعب آور ماجرا اينست كه آنها به راحتي مي توانستند به طرز ديگري عمل كنند."
به هر حال آنها ممكن است از اين به بعد تا اين حد دوستانه با محققان امنيتي برخورد نكنند، زيرا Villeneuve اطلاعاتي را در مورد آنها در اختيار پليس كانادا، آمريكا و انگلستان قرار داده است. آنها همچنين اطلاعات زيادي را در اختيار فيس بوك، گوگل و ISP هاي مختلف در ارتباط با كلاهبرداري و حسابهاي كاربري لو رفته قرار دادند. آنها حدود 20 هزار حساب كاربري فيس بوك جعلي، 500 هزار حساب كاربري Gmail و Blogspot جعلي و هزاران حساب كاربري FTP لو رفته را كه مورد استفاده خرابكاران بوده است، شناسايي كرده و اطلاعات آنها را در اختيار شركت ها و سازمان هاي مربوطه قرار دادند.
آنها اميدوارند اين فعاليتها، از ادامه عمليات Botnet جلوگيري به عمل آورد، ولي Villeneuve هيچ اعتقادي به اينكه Koobface كاملاً از كار افتاده است، ندارد. وي مي گويد:
" من فكر مي كنم آنها دوباره و به زودي كار خود را از سر مي گيرند و سعي مي كنند زامبي هايي را كه از دست داده اند بازگردانند."
- 3