Prejšnji teden je slovenska policija v sodelovanju z ameriškim FBI v Mariboru izvedla hišne preiskave in zaslišala tri osumljence. Mediji so navajali, da naj bi osumljeni “ustvarili najnevarnejši računalniški virus doslej” (gre za dva študenta in študentko mariborske Fakultete za elektrotehniko, računalništvo in informatiko).
Iz drobcev informacij, ki so bili na voljo, je bilo hitro jasno, da gre za akcijo, povezano z Mariposa botnetom (omrežjem okuženih računalnikov, ki jih storilec nadzoruje preko kontrolnega strežnika). Center operacij Mariposa botneta je bil v Španiji, kjer je že marca njihova policija aretirala tri upravljalce botneta (dva sta se kasneje celo ponujala v zaposlitev protivirusnemu podjetju PandaLabs). Preiskava računalnikov teh upravljalcev je pokazala na “kompleksno omrežje ponudnikov, ki so ponujali paleto storitev, od vdiranja z namenom vzpostavitve kontrolnega strežnika, šifrirnih storitev, ki so botom omogočili izogib protivirusni zaznavi, anonimnih VPN povezav, preko katerih se je upravljalo botnet itn.” (vir: PandaLabs Blog). Kaže, da so bili med omenjenimi “ponudniki storitev” tudi Mariborčani.
“Kako težko je napisati tak virus?” je bilo pogosto vprašanje novinarjev ob tem dogodku. Vsekakor se mora pisec dovolj spoznati na delovanje omrežij in programiranje, na kar pa se (vsaj upam) študentje računalništva itak morajo. Hekanje pa je sicer skupek veščin, spretnosti in motiviranosti. Res je, da je Mariposa skupina uspela v botnet povezati do sedaj največje število računalnikov (13 milijonov), 800.000 uporabnikom pa so ukradl podatke (gesla za dostop do bančnih in drugih storitev ali podatke o kreditnih karticah) in v tem smislu lahko govorimo o največjem botnetu. Ta je bil infrastruktura, preko katere so njegovi upravljalci nameščali dodatno zlonamerno kodo (kot je recimo ZeuS bančni trojanec), uporabnikom spreminjali iskalne rezultate, razpošiljali spam in tudi na črnem trgu tržili vse te storitve Mariposa botneta.
Ne glede na vse to pa je ta Mariposa bot napadel le tistega, ki ga je lahko, nekateri protivirusni programi so ga namreč zaznali in onemogočili že januarja 2009. Pri tovrstnih zlorabah pravzaprav ne gre za ciljane napade (čeprav bi morda lahko tako sklepali iz posameznih medijskih objav, češ kako so avtorji virusa vdirali celo v obveščevalne službe). Cilj storilca je zajeti čim širšo množico in iz nje potegniti velik zaslužek.
Druga pomembna novica s področja informacijske varnosti prejšnji teden (a medijsko spregledana) se je nanašala na 0-day ranljivost v Windows sistemih, ki jo trenutno izkorišča specializiran računalniški trojanec Stuxnet (glej obvestilo SI-CERT 2010-04). 0-day ranljivost pomeni, da se je tudi sam proizvajalec (Microsoft) ni zavedal. Trojanec se v tem primeru aktivira že samo s pregledom mape na USB ključu, namesti rootkit (napreden program za skrivanje podtaknjene kode), digitalno podpisan kot Windows gonilnik z ukradenimi ključi (certifikati) dveh tajvanskih podjetij (RealTek in JMicron Technologies), od katerih je enemu veljavnost potekla pred kratkim, zato so storilci začeli podpisovati z drugim.
Zanimivosti s tem še ni konec: Stuxnet namreč preveri, ali se na okuženem sistemu nahajajo Siemensovi SCADA programi. Kratica pomeni “supervisory control and data acquisition” in označuje sisteme za nadzor industrijskih procesov, kot so proizvodnja in distribucija električne energije, plina itd. Veliko od teh sistemov označujemo z enotnim pojmom kritična infrastruktura. SCADA datoteke z okuženega sistema pošlje trojanec (podobno kot pri Mariposi) na kontrolni strežnik.
O tem, kdo stoji za trojancem, ki ga zanima infrastruktura po državah, se trenutno še ne ve. V protivirusnem podjetju Symantec so recimo ugotovili, da je več kot 50 % prizadetih sistemov lociranih v Iranu (ki mu sledita Indonezija in Indija). Zaradi načina širjenja, ki temelji na fizičnem prenosu USB ključev seveda ne moremo imeti enako razpršene slike okužbe, kot takrat, ko se te vršijo preko omrežja, je pa ta način seveda primeren prav za te nadzorne sisteme, ki dostikrat nalašč niso priključeni na internet.
Iz obeh primerov lahko vidimo, da odgovor na vprašanje, kateri virus (oz. črv, bot, trojanec) je “najnevarnejši”, nikakor ni enostaven. Eden ogroža bančne račune posameznikov, drugi pa krade občutljive informacije, ki bi jih lahko kdo nekoč izkoristil za povzročitev škode povsem drugačnih razsežnosti. Kateri je dejansko nevarnejši, je težko reči.
Za konec pa še opomba. Ob občasnih komentarjih na časopisnih forumih, kako so pisci virusov “carji”, da jim je to ratalo: velja se spomniti, da je pri celotni Mariposa operaciji šlo za zelo jasen namen: kako ljudem ukrasti denar, ali pa na njihov račun drugače zaslužiti.
Gorazd Božič
Slika (cc) (by) flickr.com uporabnik fhemerick