СофияПловдивВарнаБургасРусе

Руски хакери заразяват хиляди компютри

Компютърният специалист Джо Стюарт, който първи засече дейността на руските хакери. Снимка: в. „Ню Йорк Таймс“

В днешно време опасността от Русия не идва само от войските, които атакуват Грузия. Криминални групи използват инструменти, които са по принцип запазени за системни администратори, и заразяват хиляди компютри на правителства и корпорации. Като резултат крадат пароли и друга информация. Тази нова форма на атака показва колко малко е направено, за да се предпазим от т.нар. ботнет, мрежи от заразени компютри, които престъпници използват, пращайки спам, крадейки пароли и вършейки куп други поразии. Няколко експерти по сигурността казват, че атаките срещу мрежовите администратори не са нещо ново, но систематичната употреба на административен софтуер за разпространение на вируси започва да се развива едва сега.

Руската група става известна през май, когато за нея говори Джо Стюарт, изследовател в SecureWorks, фирма за компютърна защита от Атланта. Стюарт успява да установи, че бандата действа от Русия и разкрива наличието на централна програма, която контролира над 100 000 заразени компютри в интернет. Програмата работи от хостинг център в Уисконсин. Стюарт веднага се обръща към федералните служби, които започват разследване. Командващата програма бива спряна, но руската група веднага реконструира системата. Те местят контролната програма в Украйна, извън обхвата на американските власти. Системата заразява компютри с програмата Coreflood, която записва натиснатите клавиши и по този начин краде информация. По този начин мрежата от заразени компютри е събрала 500 гигабайта информация за по-малко от година и я е изпратила до компютърния център в Уисконсин. „Един от уникалните аспекти на този метод е, че освен пароли, той краде и изображения от екрана“, обяснява Марк Зейдън, ветеран в правенето на антивирусен софтуер. По този начин престъпниците могат да видят информация като банкови баланси – без да се налага да влизат в откраднатите акаунти. Откритието на Стюарт е доказателство, че botnet проблема може да е ясен на специалистите, но те все още не са намерили адекватни решения за него.

„Много компютри продължават да се заразяват по този начин, но компаниите не са достатъчно заинтересовани, казва Рик Уесън, специалист от Support Intelligence, консултантска фирма от Сан Франциско. Явно много корпорации смятат, че е нормално да те заразяват по няколко пъти на месец.“ Стюарт и други негови колеги и преди са описвали действията на руската група, която използва програмата Coreflood. Стюарт вече има цялостно изследване – чиято база включва наблюдение над заразяванията в щатска полицейска служба и голяма хотелска верига. И двете мрежи стават постоянна мишена на атаки след като руската група се сдобива с имената и паролите на мрежовите администратори. По този начин стотици и хиляди компютри се заразяват за няколко часа. Стюарт не назовава организациите, чиито мрежи е наблюдавал, защото все още тече съдебно разследване по случая.

В тези примери, както и в много други случаи, групата заразява компютъра на мрежовия администратор и след това използва административните инструменти на Майкрософт, за да зарази всички компютри в мрежата. Новата атака е продукт на начина, по който съвременните продукти се администрират. При тях „властта“ е централизирана и софтуерните ъпдейти за хиляди компютри са автоматизирани. „Хубавото на тази система е, че от един компютър е възможно да се пращат едновременно ъпдейти до всички машини в корпоративната мрежа, казва Стюърт. Това е удобен инструмент, който Майкрософт предостави. Но това е и лесен начин за лошите момчета да разпространяват троянските си коне до всеки компютър в мрежата.“ Говорителят на Майкрософт отказа да коментира атаката на руските хакери.

Според Стюарт групата, използваща програмата Coreflood, е отговорна за 378 000 заразявания през последните 16 месеца. Във всеки един от тези случаи заразеният компютър прихваща и изпраща лична информация до централизирана база данни, която събира данните от „шпионите“ в мрежата. Стюарт предполага също, че руската група стои и зад успешната финансова кражба от банковата сметка на бизнесмена от Маями Джо Лопес, за която медиите доста шумяха. През април 2004 г. от неговата банкова сметка бяха източени близо 100 000 долара и прехвърлени в банка в Латвия. От това количество 20 000 долара бяха успешно изтеглени от човек с фалшива лична карта. Впоследствие програмата Coreflood беше намерена на компютъра на Джо Лопез.

След като открил централната програма в Уисконсин, Стюарт проследил онлайн активността на някои от членовете на групата в Русия. За сега обаче не обявява имената им, за да не пречи на разследването. Някои от постовете в блог сайта LiveJournal са накарали Стюарт да вярва, че един член на групата е починал, но другите са останали активни. Стюарт казва, че е предоставил на властите предостатъчно информация за онлайн дискусиите на групата и тяхната дейност. „Ако руските власти наистина искат да хванат тези момчета, мисля че могат“, казва той.

По в. Ню Йорк таймс

Здраве, Наука & Tex
Коментарите под статиите са спрени от 2014 г., заради противоречиви решения на Европейския съд, който в един случай присъди отговорност за тях на стопаните на сайта, после излезе с противоположно становище. В e-vestnik.bg нямаме капацитет да следим и коментари на читатели. Обект сме на съдебни претенции заради статии, имали сме по няколко дела с искове за по 50-100 хил. лева. Заради което приемаме дарения за сайта (виж тук повече), чиито единствени приходи са от рекламни банери.