Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Anonymizačná služba AWM Proxy využíva TDSS botnet, kto je jeho autorom?

Anonymizačná služba AWM Proxy - awmproxy.net využíva pre účely maskovania identity svojich zákazníkov TDSS botnet. Do tohto botnetu sú s vysokou pravdepodobnosťou zapojené všetky počítače infikované rootkitom TDL4. S touto informáciou prišiel bezpečnostný expert Brian Krebs, ktorý ďalej pátral aj po možných autoroch botnetu.

Cena za využitie anonymizačnej služby sa začína na 3 dolároch za deň, mesiac používania stojí 25 dolárov. Za 160 dolárov týždenne si môžu zákazníci prenajať exkluzívny prístup k 100 TDSS infikovaným systémov naraz. Zaujímavé je tvrdenie AWM proxy, že prijíma platby cez PayPal, MasterCard, či Visu.

Klienti služby AWM Proxy tak používajú internet s identitou obetí rootkitu TDL4. Autori botnetu dokonca pre svojich užívateľov pripravili jednoduchý Firefox plugin, ktorý im umožní ľahký prístup do anonymizačnej siete. "Firma" prevádzkujúca túto sieť tvrdí, že neukladá žiadne informácie o svojich klientoch.



Plugin AWM proxy pre Firefox

Awmproxy.net súčasnosti inzeruje viac ako 24 000 proxy na prenájom. Počet dostupných proxy sa veľmi líši zo dňa na deň, a to aj v rámci 24 hodín. Dôvodom je, že TDSS infikované systémy nie sú vždy zapnuté. Ich legitímni, nič netušiaci, majitelia môžu občas svoje počítače vypnúť, najmä v noci a cez víkendy.



Okrem tohto štýlu speňaženia sa autori botnetu špecializujú aj virtuálnu menu bitcoin, či na „klikacie akcie,“ pri reklame umiestnenej na webových stránkach, ktorá funguje na princípe platby za kliknutie.

Obeť sa môže ocitnúť v nepríjemnej situácii

Ak teda klient siete AWM Proxy koná ilegálne, napríklad šíri detskú pornografiu, teroristické hrozby, či spácha hackerský útok, právnym dôsledkom bude pravdepodobne čeliť majiteľ infikovaného počítača. Ten poslúžil pravému autorovi nelegálneho obsahu ako proxy server, či výstupný bod z anonymizačnej siete. V prípade, že sa obeť chce vyhnúť tesnému stíhaniu musí detegovať rootkit hlboko vo svojom operačnom systéme, čo vôbec nie je jednoduché. TDL4 okrem iného využíva aj vlastný šifrovaný súborový systém a účinný je i pri 64 bit. operačných systémoch Windows. Podrobne sme o ňom informovali v tomto článku.

Proxy modul nachádzajúci sa v súbore ocks.dll je len jedna funkcia z početných možností, ktoré rootkit poskytuje. TDL4 môže byť ďalej použitý na krádež súborov, odosielanie veľkého množstva spamu, či na realizáciu DDoS útokov. Využitie nachádza aj pri podvodoch s online bankovníctvom.

Kto stojí za botnetom TDSS?

Bezpečnostný expert Brian Krebs zahájil pátranie po autoroch botnetu TDSS. Dá sa povedať, že sa zahral na detektíva a odviedol veľmi dobrú prácu vedúcu k identifikácií konkrétnej osoby možno stojacej za samotným botnetom.

Na stránke awmproxy.net neunikol jeho pozornosti kód služby Google Analytics - UA-3816538. Prostredníctvom webu ReverseInternet.com zistil, že tento kód je používaný na ďalších piatich webových stránkach. Ďalej pomocou domaintools.com zistil, že doména awmproxy.com bola registrovaná 27. februára 2008 istou osobou v Rusku. Použitá bola pri tom e-mailová adresa fizot@mail.ru.

WHOIS záznamy ukazujú, že fizot@mail.ru bola použitá na registráciu domény fizot.com, ktorá už nie je v súčasnosti aktívna. Meno danej osoby, ktorá bola zapísaná pod fizot.com je Galdziev Chingiz z St Petersburg, (Rusko). To isté meno sa nachádza i v registračných záznamoch fizot.org, ale fizot.org uvádza inú kontaktnú e-mailovú adresu: xtexgroup@gmail.com.

Krebs vďaka hľadaniu cez Google objavil, že adresa fizot@mail.ru bola použitá na blogu v rámci LiveJournal užívateľom s menom „Fizot,“ ten poskytuje kontaktnú e-mailovú adresu xtexcounter@bk.ru. Fizot nie je najplodnejším bloggerom, avšak má 27 príspevkov a zaoberá sa životom v Petrohrade. Podobne existuje aj youtube kanál pomenovaný Fizot.

Fizot bude pravdepodobne len okrajovo spojení s botnetom, no on alebo jeho známi môžu poznať skutočne zodpovedné osoby stojace za TDSS.

Po publikovaní týchto informácií Fizot zmazal takmer všetky príspevky zo svojho blogu na LiveJournal a podobne aj obsah kanálu na youtube. Na LiveJournal tvrdí, že návrh AWM proxy už dávno predal, otázka však znie komu.



Rozšírenosť botnetu TDSS

Zdroje: krebsonsecurity.com, h-online.com


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Antivirove centrum Crypto-world.info