Иностранная пресса о России и не только

Как обнаружил эксперт, занимающийся проблемами безопасности, некая шайка преступников, используя арсенал программного обеспечения, которое обычно зарезервировано за системными администраторами, заражает тысячи компьютеров в корпоративных и правительственных сетях программами, которые крадут пароли и другую информацию.

Специалисты по компьютерной безопасности отмечают: эта новая методика хакерских атак демонстрирует, что пока мало удалось сделать для нейтрализации угрозы, исходящей от "ботнетов" - сетей зараженных компьютеров, через которые преступники рассылают спам, воруют пароли и наносят другой вред.

Некоторые эксперты подчеркивают: хотя атаки на администраторов сетей - далеко не новость, но систематическое использование администраторского программного обеспечения для распространения вредоносного софта приобрело широкие масштабы только в настоящее время.

О существовании шайки публично заявил в мае Джо Стюарт, директор по антивирусным исследованиям фирмы SecureWorks (Атланта), которая работает в области компьютерной безопасности. Стюарт, установивший, что шайка базируется в России, сумел выявить программу-ядро, которая управляла по интернету до 100 тыс. зараженных компьютеров. Эта программа работала на коммерческом интернет-хостинге, серверы которого расположены в Висконсине.

Стюарт уведомил федеральные правоохранительные органы (какое именно ведомство, он отказался сообщать), и, по его словам, сейчас проводится расследование. Хотя работа компьютерной программы, выявленной первоначально, была прекращена, шайка, по словам Стюарта, немедленно возобновила свою деятельность, переместив управляющую программу на сервер на Украине, вне юрисдикции правоохранительных органов США.

Речь идет о заражении компьютеров программой Coreflood, которая фиксирует нажатия клавиш и другую информацию. Сеть зараженных компьютеров за год с небольшим собрала до 500 гигабайт информации, которая отсылалась на ядро в Висконсин, сообщил Стюарт.

По словам Марка Сейдена, опытного специалиста по компьютерной безопасности, у этой вредоносной программы есть уникальная особенность: она перехватывает не только пароли, но и информацию, выводимую на экран. Таким образом, члены шайки в состоянии знакомиться, например, с состоянием банковских счетов, даже не входя в личные кабинеты под крадеными паролями. Факты, выявленные Стюартом, свидетельствуют: хотя теперь проблема ботнетов широко осознается, эти вредоносные сети до сих пор остаются широко распространенной угрозой.

'Степень зараженности до сих пор высока, но корпорации мало обеспокоены этим, - говорит Рик Уэссон, эксперт по ботнетам из фирмы Support Intelligence (Сан-Франциско), занимающейся консалтингом в области безопасности. - Похоже, многие корпорации считают нормальным, что их заражают по несколько раз в месяц".

Стюарт и другие специалисты по компьютерной безопасности и ранее описывали деятельность шайки, использующей программу Coreflood. Но на конференции по компьютерной безопасности Black Hat Briefings, которая в этот четверг начинается в Лас-Вегасе, Стюарт планирует сообщить новые подробности о шайке, безнаказанно действующей уже несколько лет.

В рамках расследования Стюарт проследил уровень заражения компьютеров в одном управлении полиции штата и крупной сети отелей. Обе организации стали жертвой эпидемий, которые начались после того, как шайка раздобыла логины и пароли их системных администраторов. В обоих случаях через несколько минут или часов зараза распространилась на сотни или тысячи компьютеров.

Названия организаций Стюарт разглашать не стал, поскольку расследование правоохранительных органов еще не закончено.

В этих случаях, а также в ряде других шайка заражала компьютер администратора, а затем использовала средства администратора, предусмотренные программным обеспечением Microsoft, для заражения всех компьютеров, которые курировал данный человек, сообщил Стюарт.

Новый способ атак - это побочный эффект администрирования современных компьютерных сетей, где полномочия централизованы и обновление программного обеспечения на тысячах компьютеров производится автоматически.

"Эта система примечательна тем, что с одного компьютера можно распространять обновления по всем машинам корпоративной сети одновременно, - пояснил Стюарт. - Это удобное средство, предоставленное Microsoft. Но мошенники сказали: "А мы им воспользуемся, чтобы внедрить наши трояны во все машины сети".

В пресс-службе Microsoft воздержались от комментариев по поводу хакерских атак.

По словам Стюарта, за 16 месяцев шайка, использующая программу Coreflood, вызвала 378 тыс. заражений. В каждом случае зараженный компьютер фиксировал личные данные и отсылал их в централизованную базу данных, которая отслеживала "шпионов" в сети.

В докладе на конференции Стюарт собирается изложить версию, согласно которой российская шайка стояла за успешной кражей денег с банковского счета Джо Лопеса, бизнесмена из Майами.

В апреле 2004 года кто-то произвел несанкционированный перевод 90348 долларов со счета Лопеса в Bank of America на Parex Bank (Рига, Латвия). 20 тыс. с этого счета снял некий человек, действовавший под вымышленным именем. На компьютере Лопеса была обнаружена программа Coreflood.

Обнаружив в Висконсине управляющую программу, Стюарт стал отслеживать деятельность ряда членов шайки в сети в российском городе. Город назван не был, так как расследование продолжается.

По словам Стюарта, он заключил из переводов на английский некоторых постов на сайте блогеров LiveJournal, что один член шайки умер, но остальные продолжают активную деятельность. Стюарт сообщил, что предоставил следователям очень ценную информацию о преступной группировке, извлеченную из бесед ее членов в интернете и других собранных им данных.

'Если российская сторона всерьез заинтересована в том, чтобы выследить этих ребят, думаю, выследить их возможно", - отметил он.