Полная версия
Вирьё моё! Хроники невидимых хакерских войн от Сыктывкара до Сингапура
— Когда, где ты это видела?
— Кажется, месяцев семь назад присылали…
Как можно вспомнить подобную вещь, разглядывая массив бинарного кода? На самом деле, это и есть главная профессиональная фича вирусных аналитиков. После нескольких месяцев работы намётанный глаз начинает распознавать паттерны в том, что кажется другим людям просто хаосом символов и цифр на экране.
В вирлабе даже устраивают конкурсы на скорость распознавания вредоносов по коду. Победитель получает право выбрать пиццу, а это очень серьёзный приз. Ведь обычно решение о выборе пиццы принимает Главный. Его любимая — неизменно гавайская, с ананасами. Все остальные уже терпеть не могут эти ананасы.
Поэтому борьба за право выбрать пиццу идёт нешуточная. По команде каждый аналитик берёт файл из потока — и кто быстрей разберётся. Рекорд на вынесение вердикта — девять секунд, а на создание детектирующей записи — 43 секунды.
Так что после слов Алисы о том, что код руткита ей уже знаком, коллеги бросаются его искать. И находят в архивах прошлого года раннюю версию той же программы. Кажется, на тот момент никто полностью не осознал, что это такое.
Этот образец прислал не агент вирлаба, как предположили вначале. Письмо пришло с анонимного адреса. Скорее всего, это сделал сам автор заразы — хотел проверить, выйдет ли обновление антивируса, после которого руткит будет детектироваться. Ведь если бы такое случилось, попытку скрытных банковских переводов сразу бы пресекли.
Но именно это и выдало автора. Аналитики передали в банк результаты своей экспертизы, включая то самое письмо с первой версией руткита. А служба безопасности банка выяснила, что письмо пришло с IP-адреса в том же городке, где случилась электронная кража денег. Автор руткита явно имел доступ в местное отделение банка. И не просто доступ, а должность сотрудника, плотно работавшего с компьютерами: ведь загрузить на них руткит мог только человек с правами админа. В общем, круг подозреваемых сильно сузился.
# # #
В тот год осенняя погода стояла долго на дворе: новые руткиты плодились как грибы после дождя. И это были уже не отдельные утилиты, а целые конструкторы для создания различных вредоносных программ (кража данных, рассылка спама и т. д.). Но среди прочих возможностей они теперь включали и функции руткита — сокрытие своих действий и файлов в операционной системе.
Таким был, например, популярный бэкдор Haxdoor. Осенью 2005 года аналитики из вирлаба ежедневно выявляли новые версии этой заразы. Ежедневно!
Скрытность руткитов стала серьёзным вызовом для всей антивирусной индустрии. Ведь если антивирус тоже работает на уровне ядра операционки, он либо вообще не видит руткит, либо, даже если видит, ничего не может сделать, потому что у руткита тоже высокие привилегии в системе.
Тем не менее индустрия начинает отвечать на вызов. Некоторые компании и отдельные энтузиасты выпускают утилиты для выявления руткитов, такие как RootkitRevealer. Другие добавляют новые хитрые модули к антивирусу, чтобы он мог «заморозить» некоторые системные процессы и проверить их.
Совершенно неожиданный удар в спину получает эта индустрия (а с ней и миллионы пользователей) на праздник Хэллоуин 2005 года. Эксперт по кибербезопасности Марк Руссинович, один из авторов программы RootkitRevealer, во время тестирования новой версии этого инструмента обнаруживает неизвестный руткит на одном из своих компов. К удивлению эксперта, источником очень скрытной шпионской программы оказался компакт-диск с песнями группы Van Zant.
И это не пиратский диск, а легальная продукция корпорации Sony. Просто они решили применить технологию руткита для защиты авторских прав (Extended Copy Protection) на миллионах своих CD. Скрытная программа, невидимая даже для антивирусов, должна была предотвращать попытки копирования дисков. А заодно информировать корпорацию о тех компьютерах, где происходят такие попытки. И всё это без ведома покупателей тех самых дисков [4].
Скандальное разоблачение шпионской технологии выявило ещё один интересный факт: этот «легальный руткит» встречали и другие исследователи, но юристы советовали им не обнародовать находку и не предлагать инструменты для удаления шпиона. Ведь таким образом они нарушили бы американский закон DMCA, запрещающий вскрывать копирайтную защиту.
Зато антивирусная компания, где работал Саша и его коллеги, сразу же опубликовала предупреждение о возможных последствиях этой сомнительной инновации. Руткит, забравшийся на уровень ядра операционки, не только вносит нестабильность и тормоза в работу компьютера (вплоть до «синего экрана смерти»), но и может использоваться для создания новых вредоносов.
Реакция Sony на такие предупреждения поразила мир не меньше, чем их технология защиты от копирования. «Большинство людей вообще не знают, что такое руткит, так зачем им беспокоиться?» — заявил один из топ-менеджеров корпорации.
Однако прогноз аналитиков сбылся буквально через неделю. Сразу несколько антивирусных компаний рапортовали о появлении троянов Breplibot, Stinx-E и Ryknos, работающих на основе технологии Sony. Пользователи получали письмо с вредоносным вложением, после его открытия на компьютер проникала зараза, которая пряталась в файле с именем $sys$drv.exe. Если на компе был установлен руткит от Sony, он скрывал присутствие и активность всех файлов с префиксом $sys$ — включая и новый вредонос. И такое происходило у всех, кто слушал диски Sony с соответствующей защитой от копирования.
В конце концов корпорация одумалась, отозвала диски с руткитом и урегулировала несколько судебных разбирательств. Однако, по мнению некоторых экспертов, этот случай положил начало «большой народной нелюбви» к Sony, что позже вылилось в масштабные хакерские атаки на корпорацию.
# # #
В конце 2006 года на форумах киберпреступников появляются слухи о неуловимом рутките Rustock. Он и вправду кажется невероятно скрытным: в течение следующих полутора лет антивирусная индустрия не может его поймать. Некоторые даже говорят, что это выдумка. Другие утверждают, что с помощью этой программы-невидимки создана самая мощная сеть зомби-компьютеров для рассылки спама.
Прорыв происходит только весной 2008-го. Российская антивирусная компания Dr.Web добывает образец файла с руткитом: это поддельный драйвер операционной системы Windows. Код руткита зашифрован неизвестным способом, и аналитикам требуется больше месяца, чтобы разобраться в коде и создать средства для детектирования и лечения. Затем Dr.Web извещает о находке остальную антивирусную индустрию.
Однако в истории остаётся много белых пятен. Непонятно, каким способом и когда распространился этот руткит и почему его так долго не могли обнаружить. Исследователи из Dr.Web так и не нашли дроппер — файл, который устанавливает руткит в систему.
С этого места эстафету подхватывает тот самый вирлаб, где работают Саша и его коллеги. В своих ловушках, созданных для сбора вредоносных файлов, они находят около шестисот образцов руткита. Так они восстанавливают картину эпидемии.
Оказалось, что Rustock распространялся по каналам группировки IFrameBiz. Её уже знали по таким творениям, как Harnig, Tibs, Femad, LoadAdv, и различным модификациям Trojan-Downloader.Agent. Следы группы ведут в Петербург, к известному провайдеру хакерских сервисов Russian Business Network (RBN).
Питерские вообще лидировали в среде отечественного сетевого криминала с середины 90-х. Вспомнить хоть Владимира Левина — он считается первым в мире хакером, которого посадили за кражу денег из банка другой страны через Интернет. Такая аура северной столицы неудивительна. Именно здесь в «лихие девяностые» высокая концентрация лучших естественно-научных вузов страны сочеталась с настоящей нищетой среди студентов тех самых вузов. Даже обыкновенный сахар стал дефицитом, который продавали только по карточкам. И добывать его приходилось другими способами.
Некоторые студенты, отложив конспекты и компьютеры, просто шли работать грузчиками в порт Ораниенбаума. Но были и такие, кто научился добывать свой альтернативный сахар, не отходя от компа. Именно эти выходцы из ЛЭТИ и других питерских вузов создали легендарный хостинг RBN, дававший крышу всевозможным видам киберпреступности, включая спам, фишинг и кражу банковских карт. Этому же провайдеру хакерских услуг приписывали организацию DDoS-атак на государственные сайты Эстонии после того, как эстонские националисты добились сноса «Бронзового солдата» — памятника советским воинам в Таллине.
За несколько лет существования RBN создала одну из мощнейших систем распространения вредоносов на основе ботнетов. Так называются сети, состоящие из тысяч, а порой и миллионов заражённых компьютеров, на которые можно быстро загрузить новую вредоносную программу. Ботнет как способ распространения заразы стал самой эффективной альтернативой почтовым рассылкам, с которыми антивирусная индустрия уже научилась бороться.
Именно к этому сервису, работавшему под витриной IFrameBiz, обратились летом 2007 года авторы руткита Rustock, чтобы распространить своё творение. Но либо троянцы IframeBiz не могли незаметно активировать Rustock в системах, либо авторы руткита не хотели давать в руки распространителей сам код руткита, опасаясь кражи технологий. Так что для «заливки» по каналам IFrameBiz создали совершенно отдельный троянский модуль.
Этот загрузчик был обнаружен вирлабом ещё осенью 2007 года. Он детектировался как Agent.ddl и содержал в себе драйвер-руткит. Сняв защиту с зашифрованного драйвера, аналитики поняли, что перед ними — тот самый «разносчик эпидемии», блокировка которого помогает остановить распространение Rustoсk.
# # #
Очередная история успеха? Как бы не так! В ответ на выявление руткитов создатели вредоносов открывают новые способы стать невидимками. Помните луковицу Шрека? Можно ведь скрыться в более глубоких слоях луковицы.
В конце 2007 года через ботнет той же хакерской группы IFrameBiz распространяется троянец-шпион Sinowal. Позже его можно будет подцепить и на взломанных сайтах, и на порноресурсах, и на сайтах с пиратским софтом. Шпионская программа мониторит весь трафик жертвы, вылавливает обращения к банковским сайтам и пересылает украденные банковские реквизиты на сервер злоумышленников.
Sinowal становится большой болью для антивирусных компаний на весь следующий год. Повторяется та же история: заразу никто не видит. Даже в конце 2008-го детектировать и лечить угрозу умеют только 4 из 15 популярных антивирусов.
Этот тип малвары называется «буткит», поскольку заражает загрузочный сектор диска: MBR, Master Boot Record, главную загрузочную запись. Из этого сектора BIOS берёт код, который будет управлять дальнейшей загрузкой операционной системы. Но если зараза записала себя в загрузочный сектор, она может стартовать раньше операционки — и иметь более высокие привилегии.
Загруженная после этого операционка попадает под контроль буткита. И даже если антивирусная программа получает низкоуровневый доступ к физическому диску для проведения там своих проверок, буткит перехватывает эти вызовы и может выдать ложный результат.
А значит, коллегам Саши (теперь это аналитики Серёжа и Слава) нужно тоже забраться в этот слой луковицы, исследовать установленные буткитом перехватчики и научиться лечить заражённый MBR.
И одновременно, как в случае Rustock, нужно выявить сеть распространения буткита — чтобы антивирус мог блокировать заразу, когда она ещё только пытается перебраться на компьютер пользователя с заражённого сайта. Почти все серверы, участвующие в процессе заражения, показывают русскоязычный след: они работают в рамках известных российских и украинских «партнёрок» (схемы взаимодействия между владельцами серых сайтов и авторами вредоносов).
К 2012 году бум руткитов и буткитов как будто затихает. Конечно, работает над этим не только антивирусная индустрия, но и сама корпорация Microsoft, которая тоже реагирует на угрозы. Разработчики Windows запрещают запуск неподписанных драйверов, вводят дополнительные проверки при загрузке, меняют способы работы с памятью.
Одно из самых заметных новшеств — на смену BIOS приходит UEFI (Unified Extensible Firmware Interface). Как и в случае BIOS, это набор программного обеспечения, которое работает на промежуточном уровне. То есть непосредственно над прошивкой «железа», но ниже операционки Windows, которая загружается после. UEFI работает быстрее, чем старушка BIOS, имеет графический интерфейс и считается более безопасной…
Вы уже догадались, что будет дальше? Ещё один слой луковицы можно обойти, забравшись ещё глубже. Непосредственно в прошивку.
Как это часто бывает, концепт появляется за несколько лет до боевого применения. Буткит, способный модифицировать UEFI, найден в 2015 году в утечке исходных кодов итальянской компании HackingTeam, которая делает шпионский софт для госорганов и спецслужб. Какое-то время никаких серьёзных последствий как будто не видно, но…
В 2020 году аналитики вирлаба будут расследовать целевую атаку, направленную на дипломатические учреждения Африки, Азии и Европы. Шпионский набор софта, используемый для атаки, назовут MosaicRegressor. В некоторых случаях это вредоносное ПО попадает на компьютеры жертв через модифицированный код UEFI. Даже при обнаружении заразы избавиться от неё антивирусными средствами невозможно. Единственный способ — перепрошивка материнской платы.
Вдумчивый читатель, следящий за нашими разоблачениями луковой шелухи, конечно же, понимает, что дальше мы должны занырнуть в самую глубь. На физический уровень, где испуганно жужжат кремниевые чипы, заражённые нехорошими электронами.
Но погоди, вдумчивый читатель, ты у нас не один! Есть и такие, кто хочет почитать про что-нибудь более близкое, человеческое.
Например, про деньги.
Глава 6. КРИПТА, ДА НЕ ТА
Появление криптовалют имело много интересных последствий. Некоторые были очевидными и часто обыгрывались в новостях и сериалах. Для тех, кто всё проспал, напомним основные сюжеты.
Вот человек, купивший первые биткоины по цене куска пиццы в 2010-м. Через несколько лет он становится миллионером — жизнь удалась. Но это слишком простенькая короткометражка.
А вот другой человек, который в 2013 году выбрасывает на помойку старый жёсткий диск с кодами своих кошельков, где хранится 7500 биткоинов.
За 10 лет стоимость выброшенного вырастает до 250 миллионов долларов. Бывший владелец диска организует раскопки мусорной свалки с использованием рентгеновских сканнеров и искусственного интеллекта [5]. Отличный материал для комедии в духе «Кремниевой долины»! Кстати, они и вправду сделали такую серию с горе-миллионером на свалке.
Или вот ещё один человек, потративший кучу денег на суперкомпьютерную ферму для майнинга… В деталях он не разбирался, усвоил только одно: если у тебя есть большие вычислительные мощности, ты можешь участвовать в создании того шифрованного блокчейна, который и обеспечивает криптовалютам их криповую валютность. А самым активным участникам этого процесса периодически выдают новые монетки-биткоины. Короче, накупи побольше процессоров — и начинай добывать электронное золото!
Вот только цена хвалёной крипты почему-то перестала расти именно тогда, когда ты вложился в этот самый майнинг. Кажется, тебя просто развели продавцы процессоров. Что же делать с ненужными вычислительными мощностями? Поверить в следующий бум, заняться искусственным интеллектом? А может, лучше просто застрелиться? Это уже заявка на «Оскар» по разделу «Лучший драматический актёр».
В той индустрии, о которой наша книга, сюжеты бывают и позаковыристей. Вот какой-то хитрец решил, что нет смысла вкладываться в покупку новых компов, когда есть множество доступных старых. И запустил скрытный майнинг криптовалюты на серверах телеком-оператора, где ему довелось работать администратором. Ну а что, пусть простаивающие компы приносят пользу! Хотя всем известно, что бесплатного сыра не бывает: нагруженные такой задачей компы потребляют больше электроэнергии, за которую будет платить работодатель того самого администратора. С юридической точки зрения это не что иное, как кража электроэнергии с переводом её в криптовалюту.
Но кто, как не криминал, заинтересован в разных вариантах кражи? Идею скрытной добычи крипты на чужих мощностях подхватывают вирусописатели — и вот уже вирусы-майнеры заражают сотни тысяч машин, обсчитывая заветные блокчейны без ведома владельцев. Чем же ответит индустрия безопасности? Неужели просто заблокирует заразу?
Нет, это слишком банально, а мы любим погорячее. Самый удивительный ответ дают разработчики антивирусов Norton 360 и Avira: они встраивают криптомайнер прямо в свои антивирусы, которые вообще-то должны защищать пользователя от паразитной нагрузки. Но кому интересны мелкие проблемы пользователя — по сравнению с грандиозной идеей запустить сразу 500 миллионов клиентских компьютеров на добычу цифрового золота! [6]
К сожалению, все эти голливудистые истории золотодобычи затмили в общественном сознании другую важную особенность криптовалют. Хотя и эта фича не особенно новая. Вы можете сами получить удовольствие от её использования, когда расплачиваетесь в магазине наличными — на монетках и купюрах не написано ваше имя, и его никто не спрашивает!
Для наших предков это было нормой. Зато наш молодой читатель наверняка испытывает сейчас приступ удивления: «А что, так можно было? Все платежи — анонимные?!» Ведь он всегда платит картой, а это означает не только предъявление паспорта, но и сбор всех данных о его покупках, доходах, предпочтениях, перемещениях, любимых позах…
Да, современная банковская система превратилась в мощнейший инструмент слежки. Для этого, конечно, есть рациональное объяснение. Переходя на безналичные расчёты, люди доверяют банку проверку участников сделки.
Кроме того, банковская система гарантирует и защиту самой транзакции. Ведь электронные деньги на вашем счету — это просто числа в файле. Число можно исправить, просто дописав парочку нулей (как многократно делали хакеры). А в защищённых денежных сделках должен работать закон сохранения. Если у одного участника сделки электронная монетка добавилась к счёту, то у другого такую же монетку нужно списать. Никаких случайных удвоений или исчезновений монеток. И кто-то должен за этим следить.
Почти сразу после появления Интернета начались разработки альтернативных систем дистанционных платежей. По задумке они должны были работать в недоверенной сетевой среде без централизованного посредника — банка и избыточной идентификации участников сделки. Но при этом в них должен был соблюдаться «закон сохранения».
В 2009 году такой механизм реализовали в сети Bitcoin благодаря криптографической технологии blockchain. Если говорить совсем просто — гарантом сделок здесь выступает не один администратор (банк), а вся децентрализованная сеть, распределённая база, где хранятся все транзакции. Причём они закодированы таким образом, что их нельзя подделать. А суть майнинга — включение своих вычислительных ресурсов в работу этой криптосети и получение вознаграждения в виде новых биткоинов. Но даже эти счастливчики остаются анонимными, их отличает только номер кошелька.
Вот так и получилось, что, помимо новой золотой лихорадки, криптовалюта привела к развитию мощной альтернативной экономики. Экономики вымогательства на основе платежей, в которых невозможно вычислить получателя.
# # #
Вымогатели начинают доставать пользователей персоналок где-то с 2004 года. Первые ласточки ничего не шифруют, просто блокируют.
Таков троянец Krotten. Вы получаете файл, в котором якобы содержится генератор кодов для нелегального пополнения счёта мобильника. После запуска троянец регистрирует себя в ключах автозапуска системного реестра на вашей персоналке. И при каждой следующей загрузке Windows вместо классического интерфейса на экране появляется предложение заплатить за восстановление доступа. А именно: прислать вымогателю по электронной почте «код пополнения счёта “Киевстар” на 25 гривен».
Однако эта малвара не портит пользовательские файлы, и вирлаб без проблем выпускает средство для лечения.
А вот вымогатель Gpcode похитрее. Спам с этой программой рассылается по электронным адресам, собранным на сайте job.ru. Люди, которые искали работу и разместили там свои резюме, получают письмо с предложением — якобы от представителя солидной западной компании. В письме «соискателю» предлагают заполнить приложенную анкету для приёма на перспективную работу.
Когда человек открывает присланный ему троянский файл (документ MS Word), запущенный вредонос обходит все каталоги, шифрует файлы и почтовые базы данных. Для расшифровки нужно писать автору заразы на почту в домене yahoo.com.
В декабре 2004 года вирлаб, где работает Саша, получил первые образцы файлов, зашифрованных с помощью Gpcode. Судя по множеству признаков, шифрующая программа российского происхождения. От этого трояна уже пострадали несколько банков, рекламных агентств и других организаций с крупным документооборотом.
Но самопальный алгоритм шифрования, используемый автором трояна, пока ещё достаточно прост. Ключ — общий для всех зашифрованных пользователей — хранится прямо в коде вредоноса. Аналитики вирлаба быстро находят ключ и добавляют в свой антивирус нужную функцию расшифровки.
А потом в течение полутора лет они наблюдают, как растёт автор. Он выпускает несколько десятков модификаций шифровальщика, пробуя другие алгоритмы.
В январе 2006-го вирлаб добывает версию Gpcode.ac, где используется один из наиболее стойких публичных шифров — RSA. И если в первых зимних версиях длина ключа шифрования Gpcode составляет 56 бит, то весной это уже 330 бит, а летом все 660 бит. Даже если задействовать все компьютеры мира, на подбор ключа такой длины потребуются сотни лет.
И это ещё не последняя версия Gpcode. Но с этого места уже понятно, что игра в «лобовой» взлом шифра перебором уже проиграна. Однако есть надежда, что создатель малвары облажался в практической реализации своих криптоалгоритмов.
Одна из первых его ошибок — слишком короткая длина ключа шифрования. Когда взлом Gpcode путём полного перебора стал бессмысленным, один из аналитиков собрал все ранние взломанные ключи и разложил их на компоненты. Вот в чём фишка — ключи в RSA-шифровании состоят из комбинации очень длинных чисел. Как оказалось, при генерации ключей автор изменял лишь часть компонент. А значит, перебирать нужно лишь часть ключа. Так вирусные аналитики сделали то, что вызвало так много вопросов — невозможный на то время подбор RSA-ключа в 660 бит за очень короткое время.
Этот успешный взлом шифра как будто «остудил» вирусописателя. Автору вредоноса понадобилось почти два года, чтобы создать усовершенствованный вариант.
Новая версия, Gpcode.ak, использует для шифрования файлов симметричный алгоритм RC4. А вот ключ для этого шифрования уже зашифрован алгоритмом RSA с 1024-битным ключом, где все старые компоненты заменили новыми. И старый трюк со взломом RSA уже не проходит. Кстати, именно такая комбинация RSA + RC4 с аналогичной длиной ключей используется в популярной программе шифрования данных PGP (Pretty Good Privacy). А ещё она применяется для защиты сетевых соединений — например, в HTTPS для шифрования ваших данных при обращении к веб-страницам интернет-банкинга.
Над взломом RSA + RC4 работало много великих умов, но задача казалась нерешаемой. Однако и тут аналитики вирлаба продолжили «работу над ошибками».
Во-первых, они заметили, что после создания зашифрованной копии файла вредонос удаляет оригинал файла с диска простой операцией DeleteFile. Но на деле эта операция не уничтожает данные. Просто в таблице файлов меняется параметр, указывающий, что данная область диска свободна и туда можно записать что-то другое. И пока новых записей не сделано, там по-прежнему лежит «удалённый» файл, который можно восстановить. Например, с помощью бесплатной утилиты PhotoRec, которая изначально создавалась для спасения самого важного, что хранится на компьютерах всего мира — бесконечных пользовательских фоток из отпуска.
Но такой подход требует большого везения: зачастую удалённые файлы оказываются уже перезаписаны чем-то новым и не восстанавливаются. Значит, надо снова думать, что делать с зашифрованными копиями.
Если RSA взломать не получается, можно попробовать взломать ключ RC4, ведь именно им шифровали данные. Правда, анализ кода показывает, что длина ключа RC4 слишком велика для полного перебора. Кроме того, у каждой жертвы шифровальщика этот ключ отличается: он выбирается случайно во время работы вируса.
И здесь автор Gpcode совершил очередную ошибку. Ведь по-настоящему случайных вещей в цифровом мире почти не бывает. Круче всего было бы использовать для получения случайных чисел какой-нибудь физический процесс вроде колебаний температуры материнской платы. Но добраться до таких данных сложно.