Fertőzött hálózatok az interneten - Bottal ütnek

  • Rényi Pál Dániel
  • 2009. október 8.

Tudomány

Friss felmérések szerint a legnagyobb arányban azok a kártevők terjednek az interneten, amelyek sok esetben "pusztán" spameket vagy adatcsomagokat továbbítanak. A láthatatlan alkalmazások sok esetben alig veszélyeztetik a felhasználót, viszont több százezer fertőzött számítógép együttesen súlyos informatikai támadások eszköze lehet.
Friss felmérések szerint a legnagyobb arányban azok a kártevők terjednek az interneten, amelyek sok esetben "pusztán" spameket vagy adatcsomagokat továbbítanak. A láthatatlan alkalmazások sok esetben alig veszélyeztetik a felhasználót, viszont több százezer fertőzött számítógép együttesen súlyos informatikai támadások eszköze lehet.

Idén szeptemberben egy hónap alatt 15 százalékkal növekedett a fertőzött számítógépek száma világszerte - adta hírül pár hete az egyik legismertebb informatikai biztonsági cég, a Panda Antivirus. Az egyre kifinomultabb pop-up blokkoló programok ellenére továbbra is terjednek a a reklámfelületekre irányító ún. adware-ek, gyorsabban, mint a vírusok és a személyes adatok, bankkártyaszámok után kémkedő spyware-ek. A legnagyobb ütemben mégis a trójai programok telepszenek meg - a magyar számítógépeken fellelhető kéretlen programok közel 60 százaléka ilyen. A trójaiak nem feltétlenül tartalmaznak rosszindulatú kódokat; nevüket épp azért kapták, mert hasznosnak tűnő alkalmazásnak álcázva bújnak meg a rendszerekben, miközben folyamatosan kapcsolatban állnak gazdáikkal. Az ilyen kódok felhasználói és személyes adatok megfigyelésére és továbbítására is képesek, de nagyobb részük csupán azért telepszik meg az operációs rendszerekben, hogy onnan meghatározott címekre illetéktelen csomagokat küldözgessen. Az így fertőzött gépek kellően széles - akár több millió gépet összekötő - összeszervezett hálózata, a botnet viszont már komplett informatikai támadások levezénylését is lehetővé teszi, képes napokon át folyamatosan több tízezres oldalletöltést generálni, ami gyakorlatilag elérhetetlenné teheti a támadásnak kitett szervert. A botneteket összekötő trójai programok terjesztése két úton történik: a hálózatokat irányító botmasterek látogatott, de kellően nem biztosított weblapok forráskódjait törik fel. Az oldalak html-parancssoraiba illesztik a kártékony kódokat, amiket a lap felkeresésével automatikusan és észrevétlenül letöltünk. A botmasterek emellett folyamatosan monitorozzák a hálózatokat: teszteket végeznek sok millió hozzáférhető IP-számsor biztonsági kódjain, s a nem kellően védetteket szisztematikusan támadni kezdik. Amint gépünk csatlakozott a megadott kommunikációs csatornához, spameket küldhetnek IP-címünkről, és parancsokat adnak ki a gépeinken keresztül, anélkül, hogy ebből bármit észlelnénk. Az ún. DDOS-támadás (distributed denial-of-service attack) a terheléses támadások nyomán kialakuló részleges vagy teljes szolgáltatáskiesésre utal. A megtámadott gépek a kártékony kód parancsa szerint egy parancssorhoz kapcsolódnak, és mint a robotok, ennek utasítására cselekszenek.

Cyberháborúk

2007 tavaszán diplomáciai holtpontra jutott és utcai ütközetekbe torkollott az orosz-észt konfliktus. A lázadók elmozdították helyéről a tallinni szovjet hősi emlékművet; szakértők szerint ezt követően tört ki az első igazi cyberháború. Orosz hackeralakulatok - infoblogok szerint a Putyinhoz kötődő Nasi ifjúsági mozgalom megbízásából - három nappal később összpontosított támadást intéztek észt információs infrastruktúrák ellen. A terheléses támadásnak kitett szerverek kiválasztása, a helyenként órákig több százszorosára duzzadt, 100 Mbps feletti öszszesített sávszélességet is elérő adatfolyam egyaránt arra utalt, hogy akár milliónyi gépet tömörítő botnet lehetett felelős a támadásért. Az akció koordinációs központját a DDOS típusú támadás sajátságaiból adódóan csak részint tudták pontosan visszakövetni, az Európai Bizottság és a NATO szakértői sem találtak a forrásra utaló bizonyítékokat. Az észt és a nemzetközi sajtó, köztük a The Economist - biztonsági szakemberekkel és hackerekkel egyetemben - politikai motivációt sejtett a támadás mögött.

A célpontok nem a hálózati forgalomért felelős eszközök, a routerek, hanem közvetlenül a kormányzati, a bank- és a telekommunikációs szektor szerverei voltak - ez szintén gondosan kitervelt akcióra engedett következtetni. Észtország nagy része napokra elérhetetlenné vált az interneten, a bankrendszer két hétre lebénult, a hónapokig fejlesztett elektronikus választási rendszer használhatatlanná vált. A legtöbb híroldalt nem lehetett betölteni, egyes észt hírportálokon a tartalmat is sikerült meghamisítani. Közel akkora csapást jelenthetett ez Észtországnak, mint amit a gazdasági embargó okozott volna, amivel Oroszország a konfliktus első napjaiban fenyegetőzött. "Valóságos sokk volt ez egy olyan ország számára, mely az egyik legszélesebb bázisú elektronikus ügyintézési infrastruktúrával bírt az egész unióban" - mondta Suba Ferenc, a CERT Hungary, a magyar kormány informatikai biztonsági incidenskezelő központjának elnöke. A bankok persze nem számoltak be a kalkulált veszteségekről, de szakértők szerint egynapi kiesés az elektronikus összeköttetésből dollárszázezrekben mérhető. "Az észt infrastruktúrák elleni terheléses támadásokban 12 magyar szolgáltatóhoz tartozó IP-cím (egyedi internetazonosító) is részt vállalt. Nyilvánvaló, hogy a felhasználóknak fogalmuk nem volt arról, hogy számítógépüket milyen informatikai támadásokhoz használták fel" - mondta ezzel kapcsolatosan Suba Ferenc.

2008 augusztusában, a déloszét konfliktus tetőpontján a grúz kormányzat országhatárokon belül elérhetetlenné tette a legtöbb orosz weboldalt; "cserébe" az orosz adminisztráció - köszönhetően annak, hogy a kimenő információkért felelős routerek nagyrészt Oroszországon keresztül vezetnek - gyakorlatilag lekapcsolta a Grúziából kifelé irányuló adatfolyamot az internetről. Több grúz és azeri hírportált értek célzott DDOS- és hackertámadások; a grúz parlament és külügyminisztérium honlapján Mihail Szaakasvili elnök Adolf Hitler képe mellett díszelgett. 2009 júliusában dél-koreai és amerikai privát és kormányzati oldalak ellen indult terheléses támadás - a feltételezések szerint észak-koreai hackercsoportok jóvoltából, de augusztusban a Twitter is elnémult pár óra erejéig egy támadás után.

A professzionális DDOS támadás ma már valóságos üzletág; politikai és gazdasági megfontolások egyaránt vezérlik. Egyes források alapján az észt infrastruktúrák elleni támadássorozat is azért tartott "csak" napokig, mert a Nasi nem tudta huzamosabb ideig finanszírozni a botnetet üzemeltető hackercsoport - feltételezések szerint a hasonló akcióiról ismert Russian Business Network - napi több tízezer dolláros igényét. Online banki szolgáltatások, webáruházak, hírportálok esetében egy-egy terheléses csapás nem csupán technikai fennakadásokat, súlyos anyagi károkat is okozhat. "A cyberbűnözők sok esetben felveszik a kapcsolatot a kiszemelt célpontokkal, nemritkán pénzintézetekkel, és egy DDOS támadással fenyegetőzve alkura kényszerítik őket. Egyes szerverüzemeltetők számára egy két-három napos támadássorozat olyan bevételkieséssel járhat, hogy inkább fizetnek, csak elkerüljék" - nyilatkozta Jacques Erasmus, a Prevx informatikai biztonsági cég szakértője idén márciusban a BBC-nek.

Milliárd spam

A botneteket nem kizárólag szerverek és weblapok megbénítására használják; "piaci értékük" (az adatlopásra és megfigyelésre specializált kémprogramok telepítése mellett) a spamek terjesztésében rejlik. Igaz, hogy a megbízható - és emiatt egyben legnépszerűbb - levelezőszerverek ma már nagy hatékonysággal szűrik a dinamikus, levelezőszerverek közbeiktatása nélkül érkező kéretlen leveleket, de a kevésbé védett levelezőrendszereken keresztül több millió gépet még így is elérnek. 2008 végén közel felére esett vissza a web teljes spamforgalma, miután lekapcsolták a San José-i illetőségű, több ismert bűnszervezettel kapcsolatot tartó McColo tárhelyszolgáltatót, amely - mint a kiiktatása nyomán kiderült - napi 100 milliárd spam postázásáért volt felelős (a The Washington Post Security Fix blogja szerint a web teljes spamforgalmának kétharmadáért). Ehhez képest - adta hírül a New York Times - idén márciusra ismét a tavaly év végi szintre, 94 százalékra duzzadt a spamek aránya a teljes heti levélforgalomban - és nem egy másik webhosting szerver illegális tevékenysége nyomán. A hirtelen növekedést (naponta közel 1,5 százalékkal nő a kézbesített spamek száma) a szakírók egyértelműen az új, közvetlen kapcsolatokkal kommunikáló botnetek elterjedésének tulajdonítják. Ezek már nem visszafejthető IP-címekkel operáló szervereken keresztül, hanem peer-to-peer szolgáltatásokon (például fájlmegosztókra feljuttatott parancssorok) segítségével kommunikálnak a robotokkal - így felkutatásuk még komplikáltabb, ha egyáltalán lehetséges.

Bár egy százezres robothadsereget akár egy laptopról is lehet koordinálni, a több botmaster több alhálózat egyidejű működtetését - és így a botnetet irányító hackercsoport számára több megbízás teljesítését is - lehetővé teszi. A trójaiak közti hasonlóságok és az egyszerre több hálózathoz csatlakozó gépek nagy száma mellett ez is oka annak, hogy a robothálózatok méreteiről különféleképpen vélekednek a szakértők. A Damballa informatikai biztonsági blogja 2008-ban a Kraken név alatt elhíresült botnetet ismerte el a legnagyobbnak: ez 400 000 fertőzött gépről napi kilencmilliárd spam kiküldését teszi lehetővé. A PC World 2008-as közleménye szerint a Srizbi néven elhíresült hálózat a legkiterjedtebb: közel félmillió címről 60 milliárd spamet küld ki naponta, ezzel a lap szerint a teljes web tavalyi spamforgalmának feléért felelős. Az F-Secure informatikai biztonságtechnikai blog ez év januári jelentése szerint a Conflicker (másik nevén a Downadup) vírusa négy nap alatt (!) több mint hatmillió számítógépet fertőzött meg, és jelenleg kilencmillió operációs rendszeren fészkelődik. A Wikipedia statisztikái alapján több mint tízmilliárd spamet lövöldöz szét nap mint nap.

"Nemzetközi tekintetben már trendekről beszélhetünk. Szabályos óradíjért lehet alhálózatokat és az őket üzemeltető hackereket 'kibérelni', és célzott spamelésre vagy támadásokra felhasználni. Az elmúlt öt évben a hálózatokat irányító hackertársaságok valóságos alvilági iparágat fejlesztettek ebből. Nem váratlan fejlemény ez, ha figyelembe vesszük: profi kivitelezés mellett milyen pénzeket lehet ebből előteremteni a teljes anonimitás védelme mellett" - mondja Suba Ferenc.

Professzionális alakulatok

"Kialakult az informatikai útvonalakkal operáló szervezett bűnözés: olyan online maffiák ezek, amelyek a hagyományos maffiaszervezetekkel összefonódva, a védelmi technológiák hiányosságait kihasználva bérbe adott hálózatokkal, illetve adattöréses támadásokon keresztül lopott információkkal kereskednek" - tette hozzá mindehhez Krasznay Csaba, a Zrínyi Miklós Nemzetvédelmi Egyetem doktorandusza. Az egyes alakulatok különböző feladatokat látnak el: sokan specializálódnak olyan kódok kifejlesztésére, amelyek képesek bejutni védett rendszerekbe. Más informatikai technikák szükségesek a kártékony kódok számítógépekre való eljuttatásához, tehát a botnetek megszervezéséhez és üzemeltetéséhez - ezt többnyire független hackercsoportok végzik, akik a professzionális fejlesztőktől vásárolják a programokat. "A harmadik szinten azok vannak, akik ezeket a botneteket használják, akik magukat a spameket szerkesztik, az ő szándékaikból indulnak meg a levéltömegek vagy épp a túlterheléses támadások. Annyira gyorsan haladnak előre az informatikai trendek, hogy ma már elmondható: nemcsak szervezett informatikai bűnözőcsoportok jönnek létre, de kialakulni látszanak a közöttük levő összehangolt munkamegosztási stratégiák is. Ezt tavaly még nem írhattuk volna le" - folytatta Krasznay, akinek szavait igazolni látszik, hogy a spamhaus.org antispam honlap szerint Európa és Észak-Amerika spamforgalmának 80 százalékát kétszáz professzionális alakulat generálja, zömükben amerikai és kelet-európai (főként orosz) egyének és szervezetek.

Aggasztó fejlemény, hogy nem csak az ún. fekete kalapos (illegális cybertevékenységet folytató) hackerek számára elérhetők a botnetek; ma már alapszintű számítógépes ismeretek birtokában, kis utánajárással gyakorlatilag bárki bérbe vehet megbízhatóan használható robothálózatokat. Valóságos árháború zajlik az amatőr botnetpiacon: az egyik legnépszerűbb hackeroldalon, a ghostmarket.org fórumain akár tízezres zombihálózatokat is bérelhetünk - DDOS támadásokra éppúgy, mint spameléshez vagy kémkedéshez. Egy tízezer robotból álló hálózat napidíja 200 dollár körül mozog, alkudni lehet, egyes bérlők szívesen segítenek a kontrollprogramok kezelésében, és akár tematikus e-mail címlisták felkutatásában is.

Figyelmébe ajánljuk