О существовании банды русских хакеров заявил директор по антивирусным исследованиям компании SecureWorks Джо Стюарт. Эта фирма базируется в Атланте и работает в области компьютерной безопасности. Ее сотрудники смогли обнаружить программу-ядро, которая управляла десятками тысяч зараженных компьютеров в Сети.
Хакеры просто воспользовались недобросовестной работой американских системных администраторов
Речь идет о программе Coreflood, фиксирующей нажатия клавиш и другую информацию. Она размещалась на коммерческом интернет-хостинге, серверы которого находятся в Висконсине. За год с небольшим сеть зараженных компьютеров собрала до 500 гигабайт информации.
Любопытно, что для заражения компьютерных сетей хакеры использовали средства администрирования, разработанные компанией Microsoft. Они позволяют централизованно управлять всеми компьютерами, входящими в состав одной локальной сети, передает The New York Times.
«Эта система примечательна тем, что с одного компьютера можно распространять обновления по всем машинам корпоративной сети одновременно, – рассказал журналистам Стюарт. – Это удобное средство, предоставленное Microsoft. Но мошенники сказали: «А мы им воспользуемся, чтобы внедрить наши трояны во все машины сети».
По словам Джо Стюарта, сначала хакеры атаковали компьютер администратора, а затем использовали его для заражения всех остальных компьютеров. Это позволяло им за считанные минуты получить контроль над тысячами машин. В течение 16 месяцев злоумышленники вызвали 378 тыс. заражений. В каждом случае компьютер, претерпевший такое вмешательство, фиксировал личные данные и отсылал их в централизованную базу данных.
Обнаружив управляющую программу, специалисты стали отслеживать ее деятельность и выяснили, что следы ведут в один из российских городов. В данный момент его название держится в секрете: собрав все необходимые данные, Джо Стюарт передал их в федеральные правоохранительные органы.
При этом Стюарту не только удалось узнать, в каком городе живут хакеры, но и найти их страницы в «Живом Журнале». Переведя на английский несколько постов, программист выяснил, что не так давно один член шайки умер, но остальные продолжают взламывать компьютерные сети.
Когда работа Coreflood на серверах в Висконсине была прекращена, хакеры переместили ее деятельность на украинские серверы, которые находятся вне юрисдикции правоохранительных органов США.
Как заявил Стюарт, главная опасность, исходящая от хакеров, заключается в том, что они не только получают секретные данные, которые содержатся на компьютерах правительства, но и могут использовать полученную информацию для похищения денежных средств. Coreflood позволяет перехватывать пароли и изображения, выводимые на экран. Это значит, что преступники могут знакомиться с состоянием банковских счетов, даже не входя в личные кабинеты под крадеными паролями.
В качестве примера Стюарт привел случай кражи денег с банковского счета бизнесмена из Майами Джо Лопеса. В апреле 2004 года кто-то произвел несанкционированный перевод 90348 долларов с его счета в Bank of America на Parex Bank (Рига). Позднее 20 тыс. долларов с этого счета снял некий человек, действовавший под вымышленным именем. Когда полиция начала расследование случившегося, на компьютере Лопеса была обнаружена программа Coreflood.
Как подчеркнул Джо Стюарт, новая методика хакерских атак указывает на то, что надежных средств защиты против угрозы, исходящей от сетей зараженных компьютеров, через которые преступники наносят вред (ботнетов), не существует. Вместе с тем, это не значит, что инициаторы таких атак неуязвимы.
«Если российская сторона всерьез заинтересована в том, чтобы найти этих ребят, думаю, выследить их возможно», – резюмировал Джо Стюарт.
Вместе с тем, по мнению отечественных экспертов, ничего уникального в том способе взлома, который использовали хакеры, нет.
«На самом деле, это очень распространенный способ. Вирусы типа клавиатурных шпионов очень распространены и применяются взломщиками по всему миру. Что же касается того факта, что это происходило посредством средств администрирования Microsoft, то, к сожалению, Microsoft всегда отличался уязвимостью своих систем.
Обычно этот момент позволяют исправить программные средства безопасности и правильная настройка сети. Так что можно предположить, что хакеры просто воспользовались недобросовестной работой американских системных администраторов. По крайней мере, ничего сверхъестественного в плане методики взлома они не совершили», – сообщил корреспонденту газеты ВЗГЛЯД руководитель компании «Агентство компьютерной безопасности WebSecure Group» Владимир Морозов.