Статьи

Схема роботи ботнету "Zeus"

Днями представниками СБУ спільно з ФБР, поліцією Нідерландів та поліцією Великобританії було проведено затримання п'ятьох осіб, підозрюваних в розробці і використанні програми-трояна "Zeus", яка за кілька років принесла своїм творцям прибуток в $ 70 млн.

Співробітники правоохоронних органів вважають, що ця п'ятірка заарештованих є мозком всієї організації Співробітники правоохоронних органів вважають, що ця п'ятірка заарештованих є "мозком" всієї організації. Саме ці люди розробили і реалізували схему викрадення та переведення в готівку грошових коштів.

Гарі Варнер, експерт з комп'ютерної безпеки з Університету Алабами (Бірмінгхем) вважає, що українська операція була набагато значніше тих, що проводилися в США і Великобританії. "Ці п'ять чоловік - вершина айсберга. Всі дороги ведуть до них. Люди, які були заарештовані у Великобританії і в США - всі вони відсилали гроші цим хлопцям з України ", - прокоментував ситуацію Варнер.

Операція ФБР "Trident Breach" почалася в травні 2009 року. Її метою було розкриття схеми роботи ботнету Zeus і затримання її творців. Протягом року велися розслідування обставин зникнення грошей з рахунків компаній, з подальшою схемою їх розподілу по банківських рахунках в Америці. Тільки в США від дій трояни постраждали принаймні 390 компаній малого і середнього бізнесу, а також приватні особи.

Як стверджують експерти з ФБР, хакери намагалися вкрасти в цілому 220 млн. $. За межі США, за різними офшорним схемам, було виведено 70 млн. $.

І ось зараз, коли ботнет практично знешкоджений, організатори заарештовані, а виконавці оголошені в міжнародний розшук, слідство має достатніми відомостями, щоб скласти повну картину роботи проекту "Zeus".

Схема роботи ботнету "Zeus"

Принцип роботи ботнету, в загальному то, особливо не відрізняється від інших подібних схем. Його, скоріше, виділяє якість написання програмного коду, функціональні можливості, постійні оновлення та доопрацювання, а також масштаб і налагоджена робота на всіх стадіях - від продажу ПО для створення ботнету до переведення в готівку грошей. Zeus лежить в основі дуже великої кількості різних ботнетів, і всі вони контролюються різними людьми.

Базовий інструментарій ZeuS Builder варто 3000-4000 $, або можна придбати за 10 000 $ версію, що дозволяє повністю контролювати заражені комп'ютери. Також розробниками випускалися і додаткові модулі. Наприклад, «Firefox form grabber» (за 2000 $) висилає інформацію з форм введення в Файерфоксе, «Jabber (IM) chat notifier» (за 500 $) сповіщає про отримання вкрадених даних, VNC-модуль (за 10 000 $) обходити більшість апаратних засобів аутентифікації, що застосовуються банками, і відраховувати будь-які суми з рахунків жертви. А остання версія Зевса (від 100 000 $), яка орієнтована на проведення великих перекладів, уміє обходити більшість двохфакторну і інших захистів банківських систем. І до всього цього, Зевс використовує полиморфное шифрування, що ускладнює його виявлення антивірусами.

Комп'ютер жертви заражався вірусом ZeuS Trojan-Spy.Win32.Zbot головним чином через електронну пошту. При відкритті зараженого електронного повідомлення, відбувалася автоматична інсталяція програми в комп'ютер жертви і відправка виявлених даних власнику ботнету - логіни і паролі, банківські операції, паролі, реквізити та інші. Все це використовувалося для отримання доступу до банківських рахунків жертви з подальшим переведенням грошей траншами по 10 000 $ за допомогою декількох неавторизованих платежів на різні банківські рахунки. До речі, неавторизовані платежі - це ще одна відмінна риса роботи ботнету Zeus.

Гроші переводилися на рахунки так званих "мулів", людей, які допомагали отримувати гроші з підставних рахунків, отримуючи за це свій відсоток. Нерідко рахунки відкривалися за підробленими документами. У схемі роботи використовувалося більш 3,500 "мулів". 28 вересня Міська поліція Великобританії заарештувала 20 з них. Після чого послідувала серія арештів в США.

Керували ботнетом в цілому 5-10 чоловік. Раніше вважалося, що за Zeus стоїть російська група хакерів "Rock Phish", яка використовує його для крадіжки номерів кредиток і банківських рахунків. Але на думку компанії SecureWorks, яка відстежувала роботу ботнету протягом декількох останніх років, головний творець Zeus - це одна людина, яка живе в Санкт-Петербурзі.

На даний момент в організації "проекту Zeus" підозрюються 92 осіб, 39 з яких вже заарештовано, а решта оголошені в розшук. Їх фото можна подивитися на сайті ФБР. У разі якщо їх провина буде доведена, хакерів очікує від 10 до 30 років в'язниці і штраф від 250 000 до 1 000 000 $, в залежності від кількості нанесеного фінансового збитку і ступеня причетності.

До речі, в інтернеті навіть є сайт, який відстежує процеси життєдіяльності Зевса. Подивитися можна тут . І за його даними, Україна стоїть на 1 місці в тор-10 списку країн, яких хоститься ZeuS (з файлами online) і на 3 за кількістю розміщених його адмінок. Також спостерігається явна динаміка спаду активності ботнету з моменту арештів "верхівки". Можливо це відбувається і через те, що в Росії був розроблений конкурент Зевса - ботнет Spy Eye, який потрапляючи в системи, заражені Зевсом, забирає його бази даних, а потім повністю знищує його код.

Наостанок дамо кілька порад як убезпечити свій комп'ютер від зараження і що робити, якщо він таки був заражений.

Найбільш очевидний рада - не відчиняйте файли від незнайомий людей. Від знайомих, в іншим, теж. Вони можуть навіть не підозрювати, що файл заражений. Висновок: частіше оновлюйте антивірусні програми. Також відстежуйте свій вихідний трафік і ставте фаєрволи.

Якщо Ви все такі підхопили ZeuS Trojan-Spy.Win32.Zbot, зробіть наступне:
- пошукайте папку Wsnpoem
- пошукайте файли з іменами NTOS.EXE, LD08.EXE, LD12.EXE, PP06.EXE, PP08.EXE, LDnn.EXE і PPnn.EXE. Але можливі варіанти. "Важить" файл 40- 150 Кбайт і має атрибут "прихований".
- перевірте реєстр. ZeuS робить там зміни, щоб отримати для себе права адміністратора комп'ютера.
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon
було:
"Userinit" = "C: WINDOWSsystem32userinit.exe"
стало:
"Userinit" = "C: WINDOWSsystem32userinit.exe, C: WINDOWSsystem32sdra64.exe"

а так само в HKCUSoftwareMicrosoftWindowsCurrentVersionRun
додано:
"Userinit" = "C: Documents and Settings <user> Application Datasdra64.exe"

- Оновлення свій антивірус і він сам все зробить 🙂

А адміністраторам корпоративних мереж настійно рекомендую ознайомитися з ZeuS blocklist .

Новости