Dočkali sme sa tretieho pokračovania seriálu o Storm botnete. Doteraz sme mali možnosť zoznámiť sa s tematikou botnetov všeobecne v prvej časti a s vlastnosťami a funkciami samotného Storm botnetu v druhej časti. V tejto časti si zhrnieme míľniky vo vývoji a šírení Storm botnetu z časového hľadiska.
"Život" Storm Botnetu
Ako sme už spomínali, Storm bol oficiálne objavený 17.1.2007, no prvý krát sa objavil už 12.1.2007. V tom čase v Európe zúrili silné búrky, čo využil pri svojom prvotnom šírení. Masívne sa začal šíriť 19.1.2007, ako príloha mailov s predmetom: "230 dead as storm batters Europe". Správa bola samozrejme podvrhnutá, no išlo o aktuálne sa tváriace informácie. Mail obsahoval prílohu s príslušným malwarom, ktorý používal exploit, po spustení ktorého získaval k počítaču administrátorský prístup a ďalej pracoval na zadaných úlohách. Infikovať sa mu darilo prevažne privátne počítače v Európe a USA. Počas toho víkendu nasledovalo ďalších 6 vĺn takýchto útokov. Výskumníci hovoria, že v tom čase bol pôvodcom 8% všetkých infekcií na svete.
Tento botnet sa šíril potichu. Znamená to, že autorom nešlo o slávu, ale o profit. Samotný kód tohto botnetu sa časom menil a updatoval, aby bol schopný vyhýbať sa antivírovým a antimalwarovým scannerom (prevažne pomocou techník rootkitov). Postupom času pribudla funkcia vlastnej ochrany, DDoS útok na prílišných zvedavcov.
Počas celej doby jeho existencie sa hľadali ľudia, ktorí stoja za týmto botnetom. Po istých dohadoch zostali výskumníci presvedčení, že za ním stoja pravdepodobne ľudia s kontaktami na ruskú KGB. Stopy vedú k spamerovi menom Zliden s prepojením na osobu Lea Kuvayeva a skupine Yambo Financials. Yambo Financials je pôvodom ukrajinská skupina, zaoberajúca sa spamom a špecializujúca sa na kriminálnu počítačovú činnosť. Zároveň v júli 2007 dosiahol veľkosť asi 1,5 milióna počítačov. Internetovému denníku InformationWeek poskytol Adam Swindler (pracujúci ako Senior manager pre softvérovú bezpečnosť vo firme Postini) informácie z výskumu ich firmy, ktorý hovorí, že 24. júla 2007 sa jeho výskumníkom podarilo vystopovať 42,6 milióna infikovaných správ, z ktorých viac ako 99% odoslal Storm botnet.
Počas augusta boli zverejnené informácie, že botnet ďalej získava na sile. Takto sa dostal z asi 3000 infikovaných počítačov od začiatku roka, až do konca mája 2007, na asi 1,7 milóna v mesiacoch jún a júl.
Matt Sergean v septembri povedal, že ak by sme zobrali všetkých 500 superpočítačov na svete (ich rebríček je na http://www.top500.org/), Storm botnet by ich prekonal len s dvoma miliónmi svojich strojov. Tak isto vyjadril strach, že kriminálnici majú prístup k takejto výpočtovej sile, no zároveň domnienku, že s tým veľa nenarobia. V setpembri 2007 sa odohral aj masívny DDoS útok na mnohé antispamové a anti-scam stránky. V tomto mesiaci sa botnet začal šíriť aj ako spam cez ePozdravy (eCard). Tento mesiac bol pre Storm botnet vrcholným. Podarilo sa mu rozšíriť až 20% svetového spamu. No tu už začínal byť príliš známym a upriamoval na seba stále viac pozornosti výskumníkov i verejnosti. Možno i to donútilo spoločnosť Microsoft rýchlo pridať funkciu detekcie a odstránenia malwaru Storm worm do nástroja Malicious Software Removal Tool (MSRT). Neskôr v septembri toho roku botnet ešte stihol nainfikovať stránku Americkej republikánskej strany.
Asi v októbri 2007 výskumníci získali dôkazy, že botnet sa ďalej viac decentralizuje, čo napovedalo o možnom úmysle predaja, alebo prenájmu niektorých častí botnetu. Počas októbra sa botnetu podarilo prelomiť "captcha" ochranu z portálu Youtube pre mail systémy a rozposielal maily mierené užívateľom XBOXu. Koncom toho mesiaca sa ale veľkosť botnetu odhadovala asi na 160 000 počítačov, čo naznačovalo zmenšovanie. To sa dialo vďaka včasnej detekcii a vďaka MSRT od Microsoftu.
Počas Vianoc a Nového roka, kedy mávajú zamestnanci dovolenky a firmy neskôr reagujú, Storm začal rozosielať infikované maily s vianočnou tematikou, apelujúce na mužskú túžbu po spoločnosti žien. Niektoré predmety mailov boli napr.: "Find Some Christmas Tail", "The Twelve Girls of Christmas", "Mrs. Claus Is Out Tonight!"" a obsahovali infikované prílohy.
V januári 2008 sa tento botnet po prvýkrát pustil do phishingovej akcie. Bola zameraná na veľké inštitúcie - Barclays a Halifax Bank. V tom čase bol zodpovedný už "len" za 2% svetového spamu. Zásluhu na znížení tohto podielu mali snahy spoločnosti Microsoft ďalej čistiť počítače s ich operačnými systémami, ale aj vďaka konkurencii - botnetom, ktoré v šírke svojej funkcionality a používaných techník pripomínali Storm. No Storm botnet i napriek týmto skutočnostiam po sviatkoch, podľa nemeckého projektu Honeynet, zväčšil svoju veľkosť o 20%. V tom období bolo registrovaných priemerne 1214 nových web-stránok denne, čo bolo v porovnaní s predchádzajúcim obdobím v priemere asi o 619 viac.
Na jar 2008 sa podarilo expertom infiltrovať Strom botnet, za účelom výskumu ziskov z jeho činnosti. Ich stúdia bola publikovaná až o niekoľko mesiacov neskôr a podala zaujímavé výsledky.(viac info) Okrem iného hovorila, že botnet je za deň svojej činnosti schopný zarobiť až 9500 dolárov. Iná skupina v tom čase už niekoľko mesiacov pracovala na niečom podobnom. V období december 2007 až február 2008 sa im podarilo "zamoriť" botnet(viac info).
Vo februári botnet pridal k spôsobom svojho šírenia infikované blogy a IM správy.
V marci 2008 vyšiel nový report firmy MessageLabs, podľa ktorého sa Storm botnetu podarilo za prvý kvartál roku 2008 znovu rozoslať až 20% svetového spamu, detegovaného touto firmou.
Prvého apríla bola uvoľnená nová verzia malwaru - storm worm a rozosielaná v správach s tematikou Dňa bláznov (1.4.2008). Počas apríla zároveň vyšli správy, že sa Storm botnet zmenšil na 5% svojej pôvodnej veľkosti. Napriek tomu vzrástlo množstvo spamu v apríli oproti marcu až o 23%. Tu už ale pracovali ďalšie veľké botnety, ktoré už dlhšie postupne získavali silu. Čo sa týka funkcionality, mali veľa spoločného s práve neslávnym Stormom. Výskumníci sa domnievajú, že za nimi stáli tí istí autori, ako za Storm wormom, alebo im blízki. Každopádne to naznačovalo, že IT podsvetie spolupracuje a komunikuje a snaží sa rozptýliť pozornosť spoločností, zaoberajúcich sa bezpečnosťou, medzi viacero subjektov.
V júli Storm botnet ešte stihol rozšíriť podvrhnuté správy o tretej svetovej vojne, ale v polke septembra stíchol. V októbri, po skoro mesačnej neaktivite vyšli dohady o jeho osude. Viacero výskumníkov sa zhodlo, že Storm botnet upadá. Odhadovali mu veľkosť asi 47 tisíc počítačov. I keby bol prerobený, do svojej pôvodnej veľkosti by sa vrátil len s malou pravdepodobnosťou. Ak by pripravoval niečo veľké, podľa výskumníkov by mal zotrvávať aspoň v nejakej udržiavacej prevádzke. Ak by plánovali nejakú novú vlnu, aby bol botnet pripravený - takto smeruje pomaly k svojmu úplnému koncu. Každopádne je zaujímavé, že postupný úpadok tak veľkého botnetu nemá vplyv na množstvo šíreného spamu. Vyzerá to tak, že jeho miesto už plne zastali nové botnety.
Zdroje k tejto časti:
- http://arstechnica.com/news.ars/post/20081110-study-storm-botnet-brought...
- http://www.infoworld.com/article/08/04/25/Researchers-poison-Storm-botne...
- http://www.theregister.co.uk/2008/05/01/storm_worm_breakup/
- http://www.darkreading.com/security/showArticle.jhtml?articleID=21120126...
- http://ddanchev.blogspot.com/2008/07/over-80-percent-of-storm-worm-spam-...
- http://blogs.zdnet.com/security/?p=792
- https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/emerging/ar...
- zdroje z prvej časti
Zaujimava seria clankov, jednoduche opisanie botnetov vseobecne a Stormu. 5*