Storm botnet

Typowy cykl życiowy spamu, który pochodzi z botnetu:
(1) Strona spamera (2) Spamer (3) Spamware (4) Zainfekowane komputery (5) Wirus lub trojan (6) Serwery pocztowe (7) Użytkownicy (8) Ruch internetowy

Storm botnet lub po prostu Storm – grupa komputerów "zombie" (botnet) kontrolowana na odległość. Storm botnet wykorzystywany jest w różnych dziedzinach wirtualnej przestępczości.

Po raz pierwszy został zidentyfikowany w styczniu 2007. W pewnym momencie Storm worm stanowił 8 proc. całego złośliwego oprogramowania znajdującego się na komputerach z systemem Microsoft Windows[1]. Według szacunków z marca 2008, 20% światowego spamu pochodzi z botnetu Storm[2].

Wielkość sieci

We wrześniu 2007 oszacowano, iż Storm może składać się z od 1 miliona do 50 milionów systemów komputerowych połączonych dzięki Storm Worm, koniowi trojańskiemu, który rozpowszechnił się poprzez spam e-mailowy[3]. Inne źródła umiejscawiają oszacowaną liczbę pomiędzy 250 tys. a 1 mln systemów. Pewien specjalista od bezpieczeństwa sieciowego twierdzący, iż stworzył oprogramowanie, które może poruszać się pomiędzy zainfekowanymi komputerami mówi, że zainfekowanych komputerów jest jedynie 160 tys.[4].

Na podstawie danych z września 2007 roku stwierdzono, iż Storm botnet ma możliwość odcięcia od internetu całego kraju i posiada potencjalną możliwość wykonywania większej liczby obliczeń na sekundę, niż najlepsze superkomputery[5]. Jednak nie jest to trafne porównanie; według specjalisty od bezpieczeństwa sieciowego Jamesa Turnera, podobnie można porównać "armię snajperów i broń jądrową"[6]. Bradley Anstis, pracownik brytyjskiej firmy Marshall, stwierdził, iż: "Bardziej niepokojąca jest możliwość obciążenia internetu. Wystarczy pomnożyć możliwość ADSL razy 40 milionów. To bardzo duży transfer. Jest to bardzo niepokojące. Mając takie zasoby w zasięgu ręki, można wykonać dystrybuowane ataki typu DoS przeciwko hostom"[6].

22 kwietnia 2009 świat obiegła informacja jaką podała firma Finjan, która od miesięcy obserwuje Storm botnet składający się z 1,9 miliona przejętych komputerów[7].

Początki

Po raz pierwszy wykryty w styczniu 2007 roku, jego nazwa pochodzi od angielskiego wyrazu storm oznaczającego burzę, nawiązując do pierwszych e-maili rozpowszechniających robaka, których tytułem było "230 dead as storm batters Europe" (pol. 230 zabitych podczas burzy w Europie). Później korzystano z innych prowokujących tytułów jak "Amerykański samolot zestrzelony przez chińską rakietę" czy "Saddam Husajn żyje!"[3]. Po uruchomieniu załącznika dołączonego do e-maila, komputer zostaje zainfekowany robakiem Storm Worm. Jedynym systemem, który może zostać zainfekowany robakiem jest system Microsoft Windows.

Dziennikarz komputerowy Mark Stephens, piszący pod pseudonimem Robert X. Cringely twierdzi, iż główna wina istnienia Storm Botnet obciąża Microsoft i Adobe Systems. Pisze: "Jednym ze sprawców muszą być twórcy Flash, IE, Outlook i P-Point. Nadal płacimy za lata, w których Adobe i Microsoft beztrosko ignorowali luki bezpieczeństwa, choć wydaje się, iż teraz starają się już bardziej"[8]. Według Patricka Runalda Storm, "botnet jest mocno skoncentrowany na Ameryce i prawdopodobnie ma swoich agentów na terenie" Stanów Zjednoczonych[9]. Inni eksperci twierdzą jednak, iż osoby kontrolujące ten botnet są Rosjanami, cytując, iż oprogramowanie Storm posiada nienawistne odniesienia do moskiewskiej firmy komputerowej Kaspersky Lab i zawiera rosyjski wyraz "buldozhka" oznaczający buldoga[10].

Struktura

Storm botnet (lub "sieć zombie") składa się z komputerów z zainstalowanym systemem operacyjnym Microsoft Windows, jako że jest to jedyny system podatny na robaka Storm Worm[5]. Po infekcji komputer staje się botem i zaczyna wykonywać automatyczne zadania – od pobierania danych o użytkowniku po atakowanie stron internetowych i wysyłanie zainfekowanych e-maili bez wiedzy użytkownika. Oszacowana liczba komputerów zajmująca się rozsyłaniem złośliwego oprogramowania Storm poprzez załączniki w wiadomościach to liczba pomiędzy 5 a 6 tys.; w samym wrześniu 2007 roku wysłanych zostało ponad 1,2 mld zainfekowanych wiadomości, z rekordowym wynikiem 57 mln wysłanych 22 sierpnia[5]. Lawrance Baldist, specjalista komputerowy stwierdził, iż "summa summarum Storm rozsyła miliardy wiadomości dziennie. Z łatwością może podwoić tę liczbę"[3]. Jedną z metod do przyciągania ofiar do spreparowanych stron internetowych jest reklamowanie serwisów oferujących darmową muzykę takich artystów, jak Beyoncé Knowles, Kelly Clarkson, Rihanna, The Eagles, Foo Fighters, R. Kelly czy Velvet Revolver[11].

Serwery back-end kontrolujące działanie botnetu i Storm worma automatycznie szyfrują swoje oprogramowanie infekujące dwukrotnie w ciągu godziny, co sprawia, iż jest ono trudne do wykrycia przez programy antywirusowe i utrudnia zmniejszenie rozpowszechniania się robaka. Dodatkowo, serwery, które kontrolują botnet, są schowane za permanentnie zmieniającym się DNS, stosując technikę nazywaną "fast flux", przez co trudno zlokalizować serwery www i poczty dystrybuujące wirusa. Operatorzy Storma kontrolują botnet korzystając z technik peer-to-peer, co utrudnia monitorowanie i blokowanie systemu[12]. Nie istnieje jedno, centralne miejsce zarządzające systemem, które można by było zablokować. Storm dodatkowo korzysta z szyfrowanego połączenia[13]. Próby zainfekowania komputerów głównie rozchodzą się wokół przekonania użytkownika do uruchomienia załącznika w e-mailu, korzystając z chwytów socjotechnicznych. Przykładowo, kontrolerzy botnetu wykorzystali rozpoczęcie rozgrywek ligi NFL, największej zawodowej ligi futbolu amerykańskiego, rozsyłając programy "oferujące" programy do analizy wyników meczów, które nie robiły nic poza infekcją komputera[14]. Według Matta Sergeanta, głównego specjalisty od technologii anty-spamowych w firmie MessageLabs, "Jeśli chodzi o moc, botnet ten kompletnie przewyższa superkomputery. Jeśli zsumujesz 500 najlepszych superkomputerów i tak przewyższy je jedynie swoimi 2 milionami komputerów. Jest to przerażające, iż kryminaliści mają dostęp do takiej mocy, a my nie możemy zbyt dużo w tej sprawie zrobić"[5]. Szacuje się, iż na razie używane jest zaledwie 10%-20% całkowitej mocy Storma[15].

Specjalista od bezpieczeństwa sieciowego Joe Stewart opisał szczegółowo proces, w jakim maszyny dołączają do botnetu: próby połączenia z botnetem są wykonywane poprzez uruchamianie serii plików EXE znajdujących się w danym systemie. Zazwyczaj nazywane są jak ciąg od game0.exe do game5.exe lub podobnie, i wykonują następujące czynności[16]:

  1. game0.exe - Backdoor/"ściągacz"
  2. game1.exe - Przekaźnik SMTP
  3. game2.exe - Złodziej adresów e-mail
  4. game3.exe - "Rozprzestrzeniacz" zainfekowanych e-maili
  5. game4.exe - Narzędzie do ataków typu DoS
  6. game5.exe - Zaktualizowana kopia "umiejscawiacza" robaka Storm

Przy każdym etapie następuje połączenie z botnetem; fast flux DNS utrudnia śledzenie tego procesu. Kod ten uruchamiany jest z %windir%\system32\wincom32.sys na systemie Windows poprzez rootkit kernela, a wszystkie połączenia do botnetu wykonywane są poprzez zmodyfikowany protokół eDonkey/Overnet.

Przypisy

  1. Dvorsky, George. "Storm Botnet storms the Net", Institute for Ethics and Emerging Technologies, 24 września 2007
  2. "One fifth of all spam springs from Storm botnet". messagelabs.co.uk. [zarchiwizowane z tego adresu (2008-05-17)]. Fileicon-pdf.png MessageLabs Intelligence: Q1 / March 2008, 01.04.2008
  3. a b c Spiess, Kevin. "Worm 'Storm' gathers strength", Neo Seeker, 7 września 2007.
  4. Francia, Ruben. "Storm Worm network shrinks to about one-tenth of its former size", Tech.Blorge, 21 października 2007
  5. a b c d Gaudin, Sharon. "Storm Worm Botnet Attacks Anti-Spam Firms", InformationWeek, 18 września 2007
  6. a b Tung, Liam. "Storm worm: More powerful than Blue Gene?", ZDNet Australia, 12 września 2007
  7. Botnet contains 1.9 million infected computers. news.zdnet.com. [zarchiwizowane z tego adresu (2009-04-25)]., news.zdnet.com, 22 kwietnia 2009
  8. Cringely, Robert X.. "The Gathering Storm", InfoWorld, 17 października 2007
  9. Singel, Ryan. "Report: Cybercrime Stormed the Net in 2007", Wired News, 12 lipca 2007
  10. Larkin, Erik. "The Internet's Public Enemy Number One", PC World, 3 grudnia 2007
  11. Gaudin, Sharon. "After Short Break, Storm Worm Fires Back Up With New Tricks", InformationWeek, September 4, 2007
  12. Schneier, Bruce. "Gathering 'Storm' Superworm Poses Grave Threat to PC Nets", Wired News, 4 października 2007
  13. Utter, David. "Storm Botnets Using Encrypted Traffic", Security Pro News, 16 października 2007
  14. Gaudin, Sharon. "NFL Kickoff Weekend Brings Another Storm Worm Attack", InformationWeek, 10 września 2007
  15. Hernandez, Pedro. "Storm Worm Rewrote the Botnet and Spam Game", Enterprise IT Planet, 4 października 2007
  16. Stewart, Joe. "Storm Worm DDoS Attack", Secure Works, 2 lutego 2007

Media użyte na tej stronie

Ambox outdated serious.svg
An outdated clock with a serious icon
Fileicon-pdf.png
Autor: MediaWiki - made smaller by Jeroen, Licencja: GPL
15x18 sized copy off http://nl.wikipedia.org/skins-1.5/common/images/icons/fileicon-pdf.png - This icon is used as the icon for external links to pdf's on the Dutch language Wikipedia.
Circle of spam.svg
Autor: odder, Licencja: CC-BY-SA-3.0
Schemat wysyłania mailowego spamu.