Botnet TDL-4 je nezničitelný

LP Fish
5. 7. 2011 14:08
Nově objevená síť "zombie" počítačů nelze zneškodnit dosud používanými prostředky.
Foto: Thingstock

Otravuje vás spam a nebo se bojíte zcizení osobních dat? Pak by vás mohla zajímat nová zpráva výzkumné laboratoře jedničky mezi výrobci antiviru, firmy Kaspersky Lab. Hovoří se v ní o dosud nejdokonalejší verzi botnetu - sítě, která zneužívá cizí počítače ke kriminální činnosti - s názvem TDL-4.

Botnety vznikají pomocí malwaru, šířeného záměrně založenými stránkami, nabízejícími atraktivní internetový obsah či služby (jako je například pornografie nebo úložný prostor). Zneužívají většinou počítače s operačním systémem Windows, které nejsou dostatečně ošetřeny bezpečnostními záplatami. Do počítače je na podvodných stránkách instalován program - tzv. rootkit - který jej umožňuje ovládat v rámci celé sítě počítačů. Použít ho pak lze například k DDoS útokům, bannerové inzerci či již zmíněnému rozesílání spamu a krádeži jakýchkoli zpeněžitelných dat.

Botnety jsou pro své provozovatele výnosným artiklem na internetovém černém trhu. Podle Telegraphu dostávají "pasáci" tzv. zombie počítačů za každých 1000 ovládaných přístrojů částku mezi 20 a 200 dolarů.

Počet botnetů na internetu vzrůstá. Už na konci minulého roku varovali výzkumníci firmy McAfee, že denně je do těchto sítí organizovaného zločinu "chyceno" okolo 60 000 počítačů. Nově se "pasáci" botnetových sítí zaměřují i na chytré telefony.

Za deset let 100 milionů dolarů

Největší odhalená "zombie" síť  Marinosa byla zlikvidovaná před dvěma lety. Ovládala podle britského Telegraphu více než 12 milionů přístrojů. Další již odhalený botnet, známý pod názvem Corefloot a zaměřený na krádeže osobních a finančních dat, ovládal jen necelých 400 000 počítačů, zato však dokázal fungovat skoro deset let. Za tu dobu vydělal svým "pasákům" okolo 100 milionů dolarů.

Další botnet Rustock, byla síť specializující se na rozesílání spamu. Ovládala za čtyři roky své existence 150 000 - 2,4 miliony počítačů. Z těch byla schopná rozeslat až 25 000 spamů za hodinu. Tuto kapacitu však její "pasáci" ani nebyli schopni prodat a tak v dobách její největší aktivity rozesílala každou hodinu jen něco přes 12 000 spamových zpráv.

TDL- 4 - nezničitelná síť

Botnet TDL-4, který odhalil tým firmy Kaspersky v minulých dnech, nešokoval odborníky ani tak svou velikostí, i když rozhodně nepatří mezi malé. Síť v něm tvoří asi 4,5 milionů počítačů. K tomuto výsledku se však podle Telegraphu dopracoval za pouhé tři měsíce své existence. Hlavním problémem je však rafinovanost, s jakou byl kód botnetu naprogramován.

Základní rootkit TDL totiž napadá část pevného disku, zodpovědnou za spuštění systému, tzv. MBR (Master Boot Record). To mu umožňuje fungovat skrytě a oklamat většinu antivirových programů. Navíc jeho kód důsledně šifruje síťový provoz a navíc se chová agresivně k dalším potencionálním botnetům v počítači a uzurpuje si jeho provoz jen pro sebe. "Pasáci TDL se jednoduše snaží vytvořit nezničitelný botnet, chráněný proti útokům, konkurentům i antivirovým firmám", komentovali pro Telegraph tento fakt Sergej Golovanov and Igor Soumenkov z Kaspersky Labs.

Ruská stopa

Podle serveru Arstechnica je nejproblematičtějším segmentem nové "pasácké" sítě její adaptování P2P technologie. Pro komunikaci totiž využívá Kad síť, původně vytvořenou pro sdílení souborů prostřednictvím populárního programu eMule. To umožňuje jednotlivým napadeným počítačům komunikaci, bez spoléhání na centrální server. Pouze přes něj lze přitom dohledat skupina "pasáků", která síť ovládá.

Tento velice silný komunikační prostředek tak nejen výrazně ztěžuje možnost jejich dopadení, ale zároveň činí "impotentními" všechny dosud známé metody pro likvidaci botnetů. Autoři zprávy pro Kaspersky Labs  však naznačili, že o autorech této sítě vypovídá fakt, že zatímco třetina napadených počítačů pochází z USA a dalších pět % z Velké Británie, nepodařilo se jim zatím najít ani jeden napadený počítač z Ruska.

 

Právě se děje

Další zprávy