Выступая на саммите SAS, Петер Крусе (Peter Kruse) и Ян Коструп (Jan Kaastrup) из датской ИБ-компании CSIS Security Group рассказали увлекательную историю о том, как современные следопыты добираются до первоисточника вредоносной активности. Исследователям пришлось пробраться через лабиринт прокси, скомпрометированных веб-серверов и плохо защищенных роутеров, прежде чем они сумели с уверенностью сказать: вот он, автор фиш-пака. Злоумышленник пока не знает, что его выследили: эксперты заподозрили, что он может являться инициатором более масштабной киберкампании.

Как и во многих других случаях фишинга в наши дни, атаки, обнаруженные CSIS, начинаются с мошеннического письма. Потенциальную жертву под убедительным предлогом вынуждают перейти по ссылке на поддельный сайт и заполнить там веб-форму. По свидетельству Крусе, ловушки, созданные в ходе заинтересовавшей исследователей киберкампании, имитировали ресурс реального банка или сайты Apple. По свидетельству Крусе, готовый набор для фишинга, с помощью которого проводились эти атаки, продается на черном рынке, он «незамысловат и удобен в использовании».

Для проведения атаки злоумышленник, согласно CSIS, задействует прокси, находящиеся в Нидерландах, и скомпрометированный веб-сервер. С помощью инструментов, хранящихся на сервере репозитория, он похищает учетные данные и реквизиты кредитных карт, далее использует другой прокси-сервер, в Дании, и обналичивает чужие денежные средства.

Сервер репозитория был обнаружен с помощью артефактов, выявленных в ходе криминалистического анализа. На этом сервере хранился файл CACAT, содержащий ссылки на «орудия труда»: более 1 тыс. взломанных серверов, список мишеней и шаблоны для спам-рассылок. В одной из папок на скомпрометированном сервере была найдена информация о поддельном сайте Apple, оформленная на итальянском языке, и о количестве просмотров.

Когда дело доходит до отъема денег, автор атаки проксирует трафик через ряд домашних ADSL-роутеров производства ZyXEL. По словам исследователей, эти широко используемые устройства поставляются с дефолтными именем пользователя и паролем, что облегчает их компрометацию. «[Производитель роутеров] заявил нам: «Приходится ждать, пока кто-нибудь пожалуется, тотальная замена слишком дорого обойдется», — сетует Крусе. — Многим интернет-провайдерам вообще все равно, и это осложняет жизнь и мне, и вам».

Несмотря на все препятствия, исследователям удалось вычислить создателя фиш-пака. Подозреваемый известен как L33bo и открыл аккаунт на eBay под тем же ником. Установлено также, что это уроженец Румынии, проживающий в Великобритании, и у него есть автомобиль MG ZT.

Датчанин Крусе известен как очень педантичный исследователь, способный терпеливо идти шаг за шагом, собирая доказательства буквально по крохам. На прошлогоднем SAS эксперт представил ряд данных, включая профиль Facebook и род занятий, уличающих злоумышленника в авторстве Dyreza, он же Dyre.

В ходе нынешней презентации Крусе с сожалением отметил, что в некоторые страны роутеры ADSL поставляются с общим открытым SSH-ключом. Это позволяет отслеживать их аудиторию и провоцировать пользователей на необдуманные действия.

Просмотрев журнал посещений за час фишинговой рассылки, исследователи обнаружили экземпляры взломанных роутеров по всему миру. Многие из них прописаны в Швейцарии и Дании, на родине Крусе и Кострупа. «Мы благоденствуем, но очень наивны и кликаем без разбору», — шутит Крусе.

Со слов эксперта, полиция вела перехват на прокси-сервере L33bo несколько месяцев, однако эта слежка осуществлялась без ордера, и обвинения против злоумышленника выдвинуть не удалось. L33bo и поныне активен, и его фиш-пак вполне успешен, но слив новых подробностей может изменить эту ситуацию. «Он пока не под стражей, но определенно является частью чего-то большего», — заключил Крусе, намекая на возможность появления новых фактов в «деле L33bo».

Категории: Аналитика, Спам, Хакеры