Как Касперский и Microsoft свалили бот-сеть Kelihos

Даже бегло охватив последние два десятилетия компьютерной эволюции, вспоминаешь несколько ключевых этапов. Рождение Веб, популяризация графического интерфейса, бум дот-комов и, конечно, его крах, скоростной и мобильный интернет-доступ, смартфоны, социальные сети…

Но параллельно с основными ИТ росла и развивалась их паразитная ветвь. Компьютерные вирусы, первая ласточка многоликой цифровой заразы, появились задолго до 90-х, однако именно двадцать лет назад племя malware, вредоносного софта, начало расти по-настоящему бурно — и сегодня в его истории точно так же выделяются несколько вех.

Вирусы первой половины 90-х были примитивными творениями скучавших программистов, в дизассемблированном виде умещавшимися на нескольких тетрадных страничках. Их вскрытие и анализ занимали скучающие умы по другую сторону только наметившихся баррикад. Если позволите секундное персональное ностальжи (я занимался вивисекцией DOS-заразы на своей 486 SX-33 без жёсткого диска, потому что это было чуть ли не единственным из доступных на ней развлечений), ухитриться вытащить вирус с дискеты, вникнуть в примитивный алгоритм и собственноручно извлечь коротенькое послание от автора было своего рода приятной головоломкой и даже поводом для гордости. Окунуться сегодня в то светлое, невинное время можно через замечательную книгу Евгения Касперского («Компьютерные вирусы в MS-DOS», 1992), изданную им на заре карьеры чуть ли не на голом энтузиазме.

«Нулевые» обозначили перелом в сторону глобальных эпидемий. Сеть, проникшая в каждый дом, предоставила вирусописателям новый, уникальный «канал дистрибуции». Melissa, ILOVEYOU, Klez, Lovesan расходились миллионными тиражами. Впрочем, вирусы по-прежнему были примитивны, а их авторами так же двигало больше любопытство, нежели желание навредить или нажиться на своих достижениях. Так что последствия сводились в худшем случае к перегрузке корпоративных сетей и временной нетрудоспособности персоналок.

Переселившись с дискет в Сеть, вирусы окончательно презрели государственные границы. Здесь изображены эпидемические уровни для вируса Kelihos (подробнее читайте дальше), далеко не самой популярной поделки вирусописателей.

В очередной раз всё изменилось к исходу первого десятилетия XXI века. Цифровая зараза стала фундаментом для и инструментом в руках организованной киберпреступности. Типичный вирус сегодня — это сложнейшая программа, способная строить устойчивые к взлому, охватывающие всю планету бот-сети, применяемые для нужд теневого интернет-бизнеса.

Полный анализ каждого такого экземпляра требует нескольких недель напряжённого труда десятков специалистов по ИТ-безопасности. Но и этого теперь мало: как показывает опыт последних операций, для успешного противостояния требуется также привлечение юристов, правоохранительных органов, взаимодействие на межгосударственном уровне. Всё это было в истории бот-сети Kelihos, только что обезвреженной российскими и американскими спецами.

Строго говоря, Kelihos, известный также под именем Hlux, не является вирусом, ибо не умеет распространяться самостоятельно. Это скорее мошенническая программка, маскируемая под какой-нибудь легитимный продукт (скринсейвер и пр.) и таким обманным путём попадающая на компьютер жертвы. Однако внешнюю простоту с лихвой компенсирует внутреннее устройство. Получив управление, Kelihos превращает PC в бота — один из узлов глобальной, многоуровневой, децентрализованной пиринговой сети (от P2P, peer-to-peer — сеть равноправных участников; так, к примеру, строятся большинство файлообменных сеток). Компьютеры в такой сети помогают друг другу делиться важной информацией, в данном случае — транслируют и исполняют управляющие сигналы, поданные хозяевами вируса. К моменту, когда управление бот-сетью Kelihos было перехвачено специалистами по безопасности, в ней было около 60 тысяч узлов. Впрочем, я забегаю.

С этого момента ресурсы заражённого компьютера — прежде всего процессорное время и интернет-канал — оказываются в полном распоряжении авторов вируса. Десять лет назад их, вероятно, потратили бы на какую-нибудь бесполезную, но привлекающую внимание публики выходку. Сегодня всё наоборот: Kelihos старается не привлекать внимания, а контролируемые ресурсы сдаются в аренду. На что можно употребить 60 тысяч машин, равномерно разбросанных по планете?

Характеризуя типичного вирусописателя начала 90-х, Евгений Касперский называл его талантливым, работоспособным, но мающимся от безделья человеком. С тех пор ситуация изменилась принципиально: авторы бот-сетей трудятся явно не забавы ради.

На рассылку спама (расчётная мощность почти 4 миллиарда сообщений в сутки), DDoS-атаки (скоординированная перегрузка выбранных серверов), распространение других malware-программ, рекламу ценных бумаг с целью временного подъёма или снижения котировок, кражу паролей, номеров кредитных карт и прочих конфиденциальных данных. Всё это отнюдь не теория, не выдумки — это задокументированные примеры применения Kelihos. Представьте, на что способны более крупные сети, вроде уничтоженной весной Rustock, насчитывавшей в 20 раз больше узлов и, помимо прочего, рассылавшей около трети спам-корреспонденции планеты!

Но вот вирус выявлен, что дальше? Классический подход — анализ кода и добавление соответствующей сигнатуры в антивирусную базу — эпидемию не остановит. Ведь Kelihos распространяется с мошеннических сайтов, а значит необходимо уничтожить их в первую очередь. Всего было отслежено около двух десятков веб-сайтов, на которых лежал вирусный код, зарегистрированных на Багамах и Кокосовых островах (доменная зона .CC). Владельцем как минимум одного из них является чешский гражданин и чешская же компания.

Впрочем, руководителям операции под кодовым названием Operation b79 — а возглавили её сотрудники подразделения по борьбе с киберпреступностью Microsoft (Digital Crime Unit, DCU) — не потребовалось покидать Соединённых Штатов. В американском суде было получено разрешение, предписывающее американской компании VeriSign оказать следователям посильную помощь — и в течение суток «вирусные» сайты исчезли из глобальной сети. Технические детали операции туманны, но в целом она подтверждает давно известный печальный факт: все интернет-дороги находятся под единоличным контролем США.

Но и этого мало, ведь десятки тысяч уже инфицированных Kelihos персоналок по-прежнему работают. Чтобы обезвредить бот-сеть, необходимо перехватить управление ею. Был выполнен анализ протокола, которые используют заражённые компьютеры для связи между собой, попутно взломан защищавший его шифр, и только после этого удалось заставить все копии Kelihos обращаться за командами не к злоумышленникам, а к организаторам контроперации (бот-сеть «занулили»).

Идеально было бы удалить вирус с заражённых машин вовсе, что, теоретически, можно проделать, воспользовавшись обнаруженным в нём механизмом самообновления (грубо: вместо новой версии самого себя предложить вирусу антивирусную программу). Но во многих странах такое несанкционированное вмешательство будет незаконным, да и последствия для каждого конкретного компьютера предположить трудно, а потому бот-сети Kelihos — обезвреженной, но не остановленной — предстоит вымирать естественным образом. По мере того, как пользователи инфицированных компьютеров переустанавливают операционную систему, обзаводятся антивирусными средствами, узнают о заражении от своих провайдеров, число функционирующих копий вируса будет уменьшаться.

Структура бот-сети Kelihos по версии Лаборатории Касперского. В зависимости от качества интернет-соединения, инфицированный компьютер превращался или в рядового исполнителя, непосредственно рассылающего спам, или в посредника, помогающего сложной конструкции бот-сети не рассыпаться. Выше всех — хозяева, сдающие сеть в аренду.

Изюминка и предмет особой гордости — предъявленные двум десяткам подозреваемых обвинения. Центральной фигурой стал чех Доминик Александр Паятти, которому принадлежит скандально известный сайт CZ.CC. Здесь до недавних пор каждый желающий мог получить собственный субдомен, чем и пользовались десятки, если не сотни тысяч человек — и в их числе авторы Kelihos. К сожалению, именно по этой причине Паятти и прочим фигурантам вряд ли удастся инкриминировать что-то большее, чем халатность. Но лиха беда начало: в подавляющем большинстве предыдущих случаев отыскать крайних не удавалось вовсе.

Подпортила картинку Microsoft, приписав все лавры себе, хотя по факту техническая часть операции была проведена  сотрудниками Лаборатории Касперского. Под нажимом западной прессы софтверный гигант признал упущение, объяснив его недопониманием (почти буквально: кто ж знал, что ребята Касперского захотят получить свою порцию славы!). Но остался осадочек, остался.

Знать, что список героев не сводится к одному только имени, в данном случае важно. История Kelihos — не являясь ни первой, ни самой крупной в своём роде — обозначает новую тенденцию и очередной перелом в бесконечном сражении за кибербезопасность. Цифровая зараза переживает глобализацию, сил одного коллектива и даже специалистов одного профиля уже недостаточно для успешной борьбы. Нужна координация усилий профессионалов из разных областей знаний и географических регионов.

С Kelihos мы, можно сказать, окончательно вступили в новую эпоху. Для обезвреживания этого вируса не пришлось ничего изобретать. Практически все этапы операции b79 уже были обкатаны незадолго до того (на бот-сетях Rustock, Waledac и др.). Следующим шагом может и должно стать ужесточение законов, регулирующих владение интернет-собственностью.

Евгений Золотов  http://i-business.ru/