گزارش از كار انداختن موقت يک Botnet خطرناک

IRCRE201011053
اخيراً محققان امنيتي با همكاري مجريان قانون و تأمين كنندگان خدمات اينترنت توانستند مغزهاي فعال ارتش رايانه هاي خرابكار Koobface را از كار بيندازند. در اين گزارش توضيحات بيشتري را در مورد چگونگي انجام شدن اين عمليات ارائه خواهيم داد.
در آخرين ساعت‌هاي جمعه 21 آبان ماه، رايانه‌اي كه به عنوان سرور اصلي كنترل و دستور (command and control) ارتش رايانه‌هاي خرابكار koobface شناسايي شده و براي ارسال دستورات به رايانه‌هاي آلوده به اين ويروس، مورد استفاده قرار مي‌گرفت، از كار افتاد. بنا بر گفته‌هاي آقاي Nart Villeneuve مدير ارشد تحقيقات در شركت امنيتي SecDev Group، كه اين شركت در پروژه از كار انداختن Koobface همكاري نزديك داشته است، سرور مذكور، يكي از سه سرور مختص به koobface بوده است كه روز جمعه 21 آبان ماه توسط يك تأمين كننده خدمات اينترنت (ISP) انگليسي به نام Coreix از كار افتاده اند. وي در اينباره گفت:
" همه اين رايانه ها بر روي يك شبكه قرار داشتند و همه آنها در حال حاضر غير قابل دسترسي هستند."
بنا بر اطلاعات ارائه شده توسط Villeneuve، شركت Coreix ، سرورها را تنها بعد از آنكه محققان امنيتي با مجريان قانون انگلستان تماس گرفتند از كار انداخته است. تأمين كننده خدمات اينترنت مذكور تا كنون اطلاعاتي را در اين باره ارائه نداده است.
درست است كه از كار انداختن سرورهاي مذكور براي مدتي محدود Koobface را از كار خواهد انداخت، اما در حقيقت اتفاقات ديگري نيز در جريان است. در روند معمول، رايانه‌هاي آلوده به Koobface به سرورهاي مياني - وب‌سرورهايي هستند كه حساب كاربري FTP آنها لو رفته و مورد سوءاستفاده قرار گرفته‌اند – متصل مي‌شوند و سپس از اين طريق به سرورهاي كنترل و دستوري كه اخيراً از كار افتاده‌اند، هدايت مي‌شوند و چون اين سرورها كار نمي‌كنند عملاً رايانه‌هاي آلوده به ويروس مذكور دستور خرابكارانه‌اي براي انجام دادن ندارند.
عمليات جمعه در واقع بخشي از يك عمليات گسترده‌تر بود كه دو هفته پيش از آن آغاز شده بود. در واقع Villeneuve و تيمش در مورد حساب هاي FTP لو رفته به شركت هاي تأمين كننده خدمات اينترنت (ISP) مربوطه اطلاع دادند و همچنين به صورت مخفيانه به گوگل و فيس بوك در مورد هزاران حساب كاربري كه در خدمت koobface هستند، گزارش دادند.
حساب‌هاي كاربري فيس‌بوك براي هدايت قربانيان به صفحات Blogspot گوگل مورد استفاده قرار مي‌گرفته‌اند كه آنها نيز به نوبه خود قربانيان را به وب سرورهايي كه حاوي كد خرابكار Koobface بوده‌اند، هدايت مي‌كرده اند. به قربانيان وعده يك ويدئوي جالب بر روي صفحه‌اي به ظاهر شبيه YouTube داده مي شده است، اما آنها ابتدا مجبور بودند يك نرم‌افزار مخصوص براي ديدن ويدئوي مذكور را دانلود كنند. اين نرم افزار مخصوص چيزي به جز كد خرابكار Koobface نبود.
ويروس Koobface حاوي چندين جزء است، از جمله يك كرم رايانه اي كه به صورت خودكار تلاش در آلوده كردن دوستان قرباني بر روي facebook دارد و برنامه botnet كه كنترل از راه دور رايانه قرباني را در اختيار هكرها مي گذارد.
ويروس Koobface از همان ابتدا كه بر روي فيس‌بوك در جولاي 2008 ظاهر شد، به عنوان يك بدافزار پولساز و پر منفعت شناخته شد. بنا بر يافته‌هاي محققان امنيتي، اين Botnet بيش از دو ميليون دلار در فاصله زماني ژوئن 2009 تا ژوئن 2010 براي صاحبانش درآمد غير قانوني كسب كرده است.
محققان همچنين داده‌هايي را نيز بر روي يك سرور مركزي ديگر كه خرابكاران آن را "the mothership" ناميده بودند و براي پيگيري حساب هاي آنها به كار مي رفت، پيدا كرده اند. اين سرور روزانه پيام هاي متني را براي چهار شماره تلفن همراه روسي ارسال و در مورد مجموع درآمد روزانه botnet به آنها اطلاع رساني مي كرده است. بنا بر اطلاعات ارائه شده توسط محققان مذكور، درآمد آنها از ضرر 1014 دلاري در 15 ژانويه تا سود 19928 دلاري در 23 مارس متغير بوده است.
پرداخت ها به صاحبان koobface توسط Paymer كه يك سرويس پرداخت الكترونيكي مشابه PayPal است، انجام شده است.
خرابكاران اينترنتي با استفاده از رايانه‌هاي هك شده تعداد بيشتري حساب كاربري Gmail، Blogspot و فيس بوك ايجاد كرده و كلمات عبور FTP (File Transfer Protocol) بيشتري را سرقت مي‌كرده‌اند. آنها همچنين نتايج جستجوي اينترنتي رايانه‌هاي قرباني را طوري دستكاري مي‌كرده اند تا آنها را براي كليك كردن بر روي لينك‌هاي تبليغاتي فريب دهند و از اين طريق نيز درآمد ديگري را كسب كنند. البته بيشترين درآمد Koobface از يك آنتي ويروس جعلي بوده است كه آن را مخفيانه بر روي رايانه قربانيان نصب مي‌كرده است. اگر بخواهيم دقيق‌تر صحبت كنيم بايد بگوييم بيش از نيمي از درآمد koobface در اين مدت (بيش از يك ميليون دلار) از آنتي ويروس جعلي و نيمي ديگر از درآمد تبليغات آنلاين بوده است.
آقاي Villeneuve در گزارش خود اشاره‌اي به هويت خرابكاران پشت صحنه koobface نكرده است ولي عقيده دارد كه حداقل يكي از اعضاي koobface در سن پطرزبورگ ساكن است.
نكته جالب ماجرا اين است كه گردانندگان Koobface مي توانستند حسارت‌هاي بيشتري به بار آورند، براي مثال به حساب‌هاي بانكي نفوذ كنند و يا به سرقت شماره كارت‌هاي اعتباري و كلمات عبور بپردازند، ولي اين كار را نكرده اند.
در گزارش Villeneuve آمده است:
" خرابكاران Koobface داراي يك سري قوانين و محدوديت‌هاي اخلاقي بوده‌اند. آنها با محققان امنيتي ارتباط برقرار كرده و ادعا كرده‌اند كه قصد ندارند خسارت‌هاي سنگين به بار آورند. آنها جرائم خود را به كلاهبرداري‌هاي كوچكي محدود كرده بودند كه داراي محدوده و مقياس بزرگي بود. نكته رعب آور ماجرا اينست كه آنها به راحتي مي توانستند به طرز ديگري عمل كنند."
به هر حال آنها ممكن است از اين به بعد تا اين حد دوستانه با محققان امنيتي برخورد نكنند، زيرا Villeneuve اطلاعاتي را در مورد آنها در اختيار پليس كانادا، آمريكا و انگلستان قرار داده است. آنها همچنين اطلاعات زيادي را در اختيار فيس بوك، گوگل و ISP هاي مختلف در ارتباط با كلاهبرداري و حساب‌هاي كاربري لو رفته قرار دادند. آنها حدود 20 هزار حساب كاربري فيس بوك جعلي، 500 هزار حساب كاربري Gmail و Blogspot جعلي و هزاران حساب كاربري FTP لو رفته را كه مورد استفاده خرابكاران بوده است، شناسايي كرده و اطلاعات آنها را در اختيار شركت ها و سازمان هاي مربوطه قرار دادند.
آنها اميدوارند اين فعاليت‌ها، از ادامه عمليات Botnet جلوگيري به عمل آورد، ولي Villeneuve هيچ اعتقادي به اينكه Koobface كاملاً از كار افتاده است، ندارد. وي مي گويد:
" من فكر مي كنم آنها دوباره و به زودي كار خود را از سر مي گيرند و سعي مي كنند زامبي هايي را كه از دست داده اند بازگردانند."