Охота на Гидру: почему Gameover ZeuS никуда не денется

У экспертов по кибербезопасности есть проблема. Нет, конечно, проблем много, но одна из них отличается особой назойливостью. Для того, чтобы попытаться её решить, пришлось организовывать чуть ли ни всемирную операцию, и всё равно результаты оказались в лучшем случае временные.

О чём речь?

• Субъект: Gameover ZeuS
• Тип: P2P-ботнет повышенной устойчивости
• Вредоносный агент: банковский троянец
• Дополнительные угрозы: используется для распространения Cryptolocker
• Предположительный размер: от 350 тыс. до 1 млн заражённых машин
• Статус: нейтрализован, контрольные серверы отключены (временно?)
• Статус владельца: подозреваемому заочно предъявлены обвинения, скрывается
• Прогноз: восстановление ботнета в ближайшие недели

Ок, ботнет нейтрализован. Несколько недель назад состоялась «Операция Tovar» — совместная акция между правоохранительными органами нескольких стран и экспертами по кибербезопасности, в результате которой владельцы ботнета потеряли его контрольные серверы.

К сожалению, победу никто праздновать не торопится: объявив о нейтрализации C&C-серверов, правоохранители сразу же признали, что у пользователей, пострадавших от Gameover ZeuS, есть около двух недель, чтобы очистить свои компьютеры от его агентов. Эксперты полагают, что владельцы ботнета попытаются его восстановить, запустив новые серверы (эти попытки, кстати, уже наблюдаются).

Несмотря на масштабность операции, ботнет вышел из строя лишь временно.

Tweet

Gameover ZeuS донимает людей уже около трёх лет; в принципе, не будет ошибкой сказать, что его история тянется куда дольше: он построен на базе оригинального ZeuS, чьи троянцы были впервые обнаружены в 2007 году. В 2011-м исходники ZeuS утекли в Сеть, в результате на свет появились множественные подобия. Gameover — из самых зловредных.

Варианты ZeuS в основном занимались кражей банковских реквизитов и использовались для финансовых махинаций. Владельцы Gameover ZeuS пошли дальше: по всей видимости, этот зловред использовлся для масштабных захватов крупных долларовых счетов, с использованием DDoS-атак в качестве дымовой завесы.

Хуже того, по-видимому, владельцы ботнета сдают его части в аренду «друзьям», и те распространяют через него растреклятый Cryptolocker, машину массового вымогательства.

В начале июня 2014 года Минюст США объявил, что «Операция Tovar» позволила временно вывести ботнет из строя, нарушив соединения между конечными агентами и контрольными серверами. Это оказалось весьма непросто сделать, поскольку Gameover ZeuS, в отличие от «обычных» ботнетов, использует P2P-соединения для контроля и распространения обновлений своих ботов. Тем самым он напоминает мифическую Гидру: отруби одну голову, отрастут несколько новых.

Позднее было объявлено имя главного подозреваемого: 30-летний россиянин Евгений Михайлович Богачев. Ему заочно предъявлены обвинения в США. Впрочем, эксперты считают, что управлением ботнетом занимаются несколько человек.

Нет особых сомнений в том, что Gameover ZeuS скоро вернётся. Сейчас он неактивен, но вряд ли мёртв. Почему? Потому что, во-первых, в мире остаётся до миллиона заражённых компьютеров. Некоторые пользователи получили уведомления от своих провайдеров, обнаруживших у них заразу, но многие до сих пор ничего про этих ботов не знают.

Так что, если в ближайшее время в мире не случится этакий «глобальный кибер-субботник», основа ботнета останется более-менее нетронутой.

Ну, и даже если он сколько-нибудь значительно «усохнет», нарастить его заново вряд ли составит большого труда. Gameover распространялся через другой ботнет — Cutwail, с которым специалисты давно и не очень успешно пытаются бороться. Почему бы не воспользоваться им снова?

Владельцы ботнета на свободе, и хотя одному из них предъявлено обвинение, во-первых, нет никаких гарантий, что его удастся в ближайшее время поймать, как нет гарантий, что это именно некий Богачев является главным оператором ботнета. Пока суд не решит иначе, никого называть виновным нельзя.

Короче говоря, владельцы ботнета на свободе и непрочь восстановить свой источник нелегальных доходов.

В конце концов, в подполье распространяются и другие вариации на тему ZeuS, и кто знает, как скоро появится что-то ещё более «убойное», чем Gameover?

Но, всё-таки, а что делать-то? О «глобальном субботнике», который можно было бы провести с подачи борцов с киберпреступностью, пока остаётся только мечтать. Хотя, конечно, было бы здорово, если бы, скажем, 31 августа пара миллиардов пользователей взяли, да и проверили свои компьютеры всеми доступными им инструментами. Мечты-мечты.

Глобальный киберсубботник — мечта. Фантастическая, увы.

Tweet

Ботнеты в большинстве своём состоят из старых машин на Windows XP, хозяева которых исходят из мысли «пока работает — не трогаем». Вряд ли они вообще обратят внимание на призывы прибраться у себя на машинах.

Так что более сознательным пользователям и компаниям остаётся пока только полагаться на себя и традиционные инструменты: решения «Лаборатории Касперского», например, успешно ловят и ZeuS, и Gameover ZeuS и Cryptolocker. Самостоятельно защищать электронные платежи от возможных попыток мошенничества тоже — хорошая идея. Внимательно относиться к тому, что пытается пролезть на ваш ПК, тоже будет нелишним.

Ну и напоследок несколько рекомендаций от нашего Старшего аналитика Дэвида Эмма:

«Для обеспечения безопасности вашей финансовой информации (от ZeuS и прочих зловредов, стремящихся похитить ваши личные данные, следует не забывать о нескольких простых правилах:

• Не нажимайте на ссылки, которые получили от незнакомых людей (отправленных по почте или через соцсети) .
• Не загружайте и не открывайте неизвестные файлы на вашем устройстве.
• Не пользуйтесь незащищёнными (публичными) точками доступа к беспроводным сетям для осуществления каких-либо транзакций. Используйте VPN-шифрование
• Всегда дважды проверяйте веб-страницу, прежде чем вводить какие-либо личные данные на ней — фишинговые сайты выглядят очень убедительно.
• Работайте только с теми сайтами, у которых в адресной строке присутствует «https», они надёжнее, чем те, чьи адреса начинаются с «http».
• Убедитесь, что все ваши защитные средства обновлены до последних версий.
• Если у вас нет никаких средств защиты, их можно приобрести здесь.

И не забывайте использовать защиту для любых транзакций с мобильных устройств.»