О существовании ботнета Mevade стало известно, когда обнаружилось, что для связи с центром управления его боты используют Tor. Однако перенос ботоводами командной инфраструктуры в эту анонимную сеть оказался роковой ошибкой: отследив резкий рост нагрузки, операторы Tor сразу поняли, что что-то не так. Очевидно, такой урок не прошел даром для киберкриминала. Эксперты частной компании Trusteer, недавно перешедшей под флаги IBM, нашли на русскоязычном подпольном форуме рекламу нового бота, использующего для сокрытия C&C-трафика протокол I2P, который в сетевом андеграунде считается более надежным, чем Tor.

Судя по заявленному функционалу, i2Ninja, как нарек его автор, является весьма заурядным финансовым зловредом, использующим набор специализированных модулей. Он способен осуществлять HTML-инъекции в ходе HTTP- и HTTPS-сессий, красть информацию, введенную в формы через браузер (IE, Firefox и Chrome всех версий), а также из FTP-, почтовых и игорных (покер) клиентов; отыскивать в зараженной системе, удалять и отсылать оператору файлы. Пользователям обещают также выпуск VNC-модуля.

Главной отличительной чертой i2Ninja является использование шифрованных I2P-каналов. По ним он получает команды и обновления, закачивает дополнительные модули, отсылает краденые данные. I2P, как и Tor, предполагает одноранговые коммуникации; в I2P-сети участники общаются друг с другом через прокси-клиенты, при этом весь трафик шифруется. «I2P, подобно Tor, обеспечивает анонимность, — поясняет Итей Маор (Etay Maor), руководитель антифрод-разработок Trusteer, — однако, судя по отзывам на разных форумах, I2P-сеть считается более надежной. Никто никогда не слышал о случаях ее компрометации. Это действительно темная сеть, до которой невозможно добраться. Она не фигурирует в поисковой выдаче Google. Ее нельзя отыскать. Все дело в протоколе, наложенном поверх HTTP».

Как и Tor, I2P-сеть популярна у тех, кто предпочитает или вынужден сохранять анонимность онлайн. К такому сервису часто прибегают диссиденты, журналисты, активисты, даже медики и юристы, которым для общения с клиентами нужны надежные, поддерживающие приватность каналы. К сожалению, анонимные службы привлекательны и для криминальных элементов, таких как ботоводы Mevade или владельцы подпольной торговой площадки Silk Road, доступ к которой осуществлялся через Tor вплоть до принудительного закрытия силами ФБР.

Продавец i2Ninja предлагает также техподдержку 24/7, причем обратиться в эту службу, по его словам, можно прямо из административной панели. «Покупателю вредоносной программы предлагается встроенная в C&C прямая линия связи с вирусописателями и службой техподдержки, — комментирует Маор. — Техподдержка 24/7 реализована в панели управления на основе I2P-протокола».  «Я впервые встречаю зловреда, использующего I2P, и ни разу не видел, чтобы авторы предлагали техподдержку 24/7 на C&C, — добавляет эксперт. — Значит, очень уверены, что протокол безопасен».

Обычно вендоры вредоносных программ организуют техподдержку через форум или специализированный сайт. Поставщики Citadel и эксплойт-пака Neosploit, например, предлагают такие услуги за отдельную плату, причем в последнем случае даже с дифференциацией расценок. «Техподдержка — архиважный элемент, — отмечает Маор. — Помню, после утечки исходников ZeuS все начали создавать собственных зловредов, и все чаты на разных теневых форумах сводились к одному: кто теперь будет обеспечивать техподдержку? Сегодня все по-другому. Есть рынок спроса, есть рынок предложения. Когда покупаешь продукт, подразумевается, что поддержка идет в комплекте. Если возникли вопросы, всегда найдется кто-нибудь, кто готов на них ответить».

Категории: Другие темы