14/11/2011
Niedawno FBI zakończono operację “Ghost Click“. Trwała kilka lat. Zatrzymano 6 mężczyzn (wiek od 26- 33 lat), którzy podmieniali na zainfekowanych komputerach reklamy i zarobili na tym procederze 14 milionów dolarów.
Podmiana DNS-ów (DNS Changer)
Estońska szajka infekowała komputery złośliwym oprogramowaniem, który podmieniał DNS-y. Wszystkie requesty idące do oryginalnych serwerów reklam były przekierowywane na serwery Estończyków związanych z firmą Esthost.
DNS Changer używany przez przestępców zazwyczaj udawał kodek wideo — trzeba było go pobrać, aby obejrzeć film pornograficzny. DNS Changer był w stanie infekować nie tylko Windows, ale również Apple Mac OS X. (FBI radzi jak usunąć DNS Changera ze swojego systemu)
Jak złapano przestępców?
W 2009 Trend Micro poddało analizie dyski twarde pochodzące z zajętych przez organy ścigania serwerów, na które kierowane były żądania DNS z zainfekowanych maszyn. Na dyskach znaleziono klucze firmy Rove Digital (dzięki nim pracownicy tej firmy łączyli się z serwerami bez hasła). Jak się później okazało, grupa była także odpowiedzialna za infekowanie komputerów fałszywymi antywirusami (i pobieranie opłat za leczenie z wyimaginowanych wirusów).
Ciekawostka
Co ciekawe, zdecydowano się na niewyłączanie fałszywych serwerów DNS. Dlaczego? Wyobrażacie sobie 4 miliony zainfekowanych komputerów, które nagle “tracą dostęp do internetu” i co gorsza masowo dzwonią na help-line? Fałszywe serwery zastąpiono działającymi poprawnie.
Gdybym ja miał robić coś takiego, to raczej wiązałbym swoich serwerów z jakąkolwiek firmą. A maszynę umieścił najlepiej w Chinach – ale możliwe że tak właśnie zrobili.
Nie wiem czym są klucze do logowania (chyba nie zwykłe ssh_key), ale lenistwo nie popłaca :-)
Swoją drogą: kilka lat pracy FBI (strzelam: ~5mln USD), wykryte nadużycia na 14mln USD, zatrzymano sześciu podejrzanych. Niezły bilans…
Cyberprzestepcy w pewnym momencie czuja sie na tyle pewnie, ze nie mysla o takich rzeczach jak ulokowanie maszyn w Chinach czy innym trudno dostepnym dla sluzb rejonie ;)
Co zlego by bylo w ubiciu tych DNS? Podejzewam, ze dotknieci tym uzytkownicy maja w systemie nieco wiecej malware, wiec wizyta serwisanta i tak by sie przydala, byc moze drastycznie zmniejszajac wielkosc innych botnetow.
4 miliony zainfekowanych komputerów to dla FBI łakomy kąsek. Teraz ageci mają możliwość monitorowania ruchu z tych komputerów oraz zapewne łatwe przejęcie kontroli nad nimi w tylko im wiadomym celu.
Faktycznie, powinni wyłączyć te serwery – lepiej zapobiegać niż leczyć – może trochę świadomość by się zwiększyła. Albo jeśli nie chcieli brutalnie zostawiać ludzi bez pomocy – przekierować ich na stronę z krótkim komunikatem, lecz tu obawiam się, że jakiś prawnik mógłby wylecieć, że wtedy policja popełnia przestępstwo…
Tez mam chyba tego wirusa, wszedzie widze reklamy ikei.
Wirtualna Polska?
Ciekawy kraj ta Estonia – wydaje swoich obywateli innemu krajowi?!