Razbili botnet Gameover Zeus in CryptoLocker

Matej Huš

3. jun 2014 ob 13:16:24

Minuli konec tedna je potekala operacija Tovar, pri kateri je sodelovalo več organov pregona, podjetij in univerz, s katero so pošteno pristrigli peruti botnetu Gameover Zeus in omrežju izsiljevalskega virusa CryptoLocker.

V akciji so sodelovali FBI, Europol in britanska National Crime Agency, podjetja CrowdStrike, Dell SecureWorks, Symantec, Trend Micro in McAfee ter univerzi v Amsterdamu in Posarju. Botnet Gameover Zeus je nastal iz sedaj že dobro poznane kode trojanca Zeus, le da je bil povsem decentraliziran v smislu P2P, zato ga je bilo težko napasti. Originalni Zeus je namreč predlani utrpel hude izgube, ko je Microsoft pridobil nadzor nad strežniki, prek katerih so ga nepridipravi krmilili.

Medtem ko je trojanca Zeus lahko za nekaj tisoč dolarjev kupil vsakdo, je bil Gameover Zeus od leta 2011 trdno pod nadzorom in v oblasti hekerske skupine iz Ukrajine in Rusije. Uporabljali so ga za kraj osebnih in finančnih podatkov, ki so jih potem zlorabili za krajo denarja iz bančnih računov. Samo v ZDA naj bi bili povzročili za več kot 100 milijonov dolarjev škode, so sporočili z ameriškega pravosodnega ministrstva. Najvišja zloraba je znašala dobrih šest milijonov dolarjev, cel kup pa je bilo manjših. Gameover Zeus se je širil zlasti prek Cutwaila, ki je uporabnikom pošiljal lažna elektronska sporočila s povezavami na strani, kjer so se potem okužili.

Drugi program je CryptoLocker, ki je precej neposrednejši. Ta se ne potrudi prikriti svoje prisotnost in aktivnosti, ker gre za izsiljevalski program. Po okužbi zašifrira uporabnikove datoteke (dokumente, slike, preglednice itd.) in izpiše sporočilo, da je treba za odklep plačati določeno odkupnino (višina je odvisna od variante). CryptoLocker uporablja dovolj dolg ključ, da šifriranih datotek ni mogoče obnoviti z grobo silo, niti doslej v njem še niso odkrili nobene ranljivosti. CryptoLocker je piscem pridelal okrog 27 milijonov dolarjev koristi.

O napadu se je McAfee razpisal že v petek, a so potem objavo na blogu hitro umaknili, ko so ugotovili, da akcija sploh še ni stekla. Microsoft dodaja, da je okuženih med pol milijona in milijonom računalnikov, od tega približno četrtina v ZDA. Microsoftova naloga v operaciji je bila analiza P2P-omrežja, ki jo je izvajal njihov Cybercrime Center, ki so ga postavili novembra lani in je v vmesnem času razbil botnet ZeroAccess.

Kolovodja celotnega kroga okoli Gameover Zeusa je po podatkih FBI ruski državljan Evgenij Mihajlovič Bogačev, ki je znan pod vzdevkoma Slavik in Pollingsoon. Bogačeva še iščejo, je pa proti njemu v Pittsburghu že vložena obtožnica.