Схема работы ботнета “Zeus”

На днях представителями СБУ совместно с ФБР, полицией Нидерландов и полицией Великобритании было проведено задержание пятерых человек, подозреваемых в разработке и использовании программы-трояна “Zeus”, которая за несколько лет принесла своим создателям прибыль в $ 70 млн.

Сотрудники правоохранительных органов считают, что эта пятёрка арестованных является “мозгом” всей организации. Именно эти люди разработали и реализовали схему похищения и обналичивания денежных средств.

Гари Варнер, эксперт по компьютерной безопасности из Университета Алабамы (Бирмингхем) считает, что украинская операция была намного значительнее тех, что проводились в США и Великобритании. “Эти пять человек – вершина айсберга. Все дороги ведут к ним. Люди, которые были арестованы в Великобритании и в США – все они отсылали деньги этим ребятам из Украины”, – прокомментировал ситуацию Варнер.

Операция ФБР “Trident Breach” началась в мае 2009 года. Её целью было раскрытие схемы работы ботнета Zeus и задержание её создателей. В течении года велись расследования обстоятельств пропажи денег со счетов компаний, с последующей схемой их распределения по банковским счетам в Америке. Только в США от действий трояны пострадали по крайней мере 390 компаний малого и среднего бизнеса, а также частные лица.

Как утверждают эксперты из ФБР, хакеры пытались украсть в общей сложности 220 млн. $. За пределы США, по различным оффшорным схемам, было выведено 70 млн. $.

И вот сейчас, когда ботнет практически обезврежен, организаторы арестованы, а исполнители объявлены в международный розыск, следствие располагает достаточными сведениями, чтобы составить полную картину работы проекта “Zeus”.

Схема работы ботнета “Zeus”

Принцип работы ботнета, в общем то, особо не отличается от других подобных схем. Его, скорее, выделяет качество написания программного кода, функциональные возможности, постоянные обновления и доработки, а также масштаб и налаженная работа на всех стадиях – от продажи ПО для создание ботнета до обналичивания денег. Zeus лежит в основе очень большого количества различных ботнетов, и все они контролируются разными людьми.

Базовый инструментарий ZeuS Builder стоит 3000-4000 $, или можно приобрести за 10 000 $ версию, позволяющую полностью контролировать зараженные компьютеры. Также разработчиками выпускались и дополнительные модули. Например, «Firefox form grabber» (за 2000 $) высылает информацию из форм ввода в Файерфоксе, «Jabber (IM) chat notifier» (за 500 $) оповещает о получении украденных данных, VNC-модуль (за 10 000 $) обходить большинство аппаратных средств аутентификации, применяемых банками, и отчислять любые суммы со счетов жертвы. А последняя версия Зевса (от 100 000 $), которая ориентирована на проведение крупных переводов, умеет обходить большинство двухфакторных и других защит банковских систем. И ко всему этому, Зевс использует полиморфное шифрование, что затрудняет его обнаружение антивирусами.

Компьютер жертвы заражался вирусом ZeuS Trojan-Spy.Win32.Zbot главным образом через электронную почту. При открытии зараженного электронного сообщения, происходила автоматическая инсталляция программы в компьютер жертвы и отправка обнаруженных данных владельцу ботнета – логины и пароли, банковские операции, пароли, реквизиты и прочие. Всё это использовалось для получения доступа к банковским счетам жертвы с последующим переводом денег траншами по 10 000 $ посредством нескольких неавторизованных платежей на различные банковские счета. Кстати, неавторизованные платежи – это ещё одна отличительная черта работы ботнета Zeus.

Деньги переводились на счета так называемых “мулов”, людей, которые помогали получать деньги с подставных счетов, получая за это свой процент. Нередко счета открывались по поддельным документам. В схеме работы использовалось более 3,500 “мулов”. 28 сентября Городская полиция Великобритании арестовала 20 из них. После чего последовала серия арестов в США.

Управляли ботнетом в общей сложности 5-10 человек. Ранее считалось, что за Zeus стоит российская группа хакеров “Rock Phish”, которая использует его для кражи номеров кредиток и банковских счетов. Но по мнению компании SecureWorks, которая отслеживала работу ботнета в течении нескольких последних лет, главный создатель Zeus – это один человек, который живет в Санкт-Петербурге.

На данный момент в организации “проекта Zeus” подозреваются 92 человека, 39 из которых уже арестовано, а остальные объявлены в розыск. Их фото можно посмотреть на сайте ФБР. В случае если их вина будет доказана, хакеров ожидает от 10 до 30 лет тюрьмы и штраф от 250 000 до 1 000 000 $, в зависимости от кол-ва нанесённого финансового ущерба и степени причастности.

Кстати, в интернете даже есть сайт, который отслеживает процессы жизнедеятельности Зевса. Посмотреть можно тут. И по его данным, Украина стоит на 1 месте в тор-10 списке стран, которых хостится ZeuS (с файлами online) и на 3 по кол-ву размещённых его админок. Также наблюдается явная динамика спада активности ботнета с момента арестов “верхушки”. Возможно это происходит и из-за того, что в России был разработан конкурент Зевса – ботнет Spy Eye, который попадая в системы, зараженные Зевсом, забирает его базы данных, а затем полностью уничтожает его код.

Напоследок дадим несколько советов как обезопасить свой компьютер от заражение и что делать, если он таки был заражён.

Самый очевидный совет – не открывайте файлы от незнакомый людей. От знакомых, в прочим, тоже. Они могут даже не подозревать, что файл заражён. Вывод: почаще обновляйте антивирусные программы. Также отслеживайте свой исходящий трафик и ставьте фаерволы.

Если Вы всё такие подхватили ZeuS Trojan-Spy.Win32.Zbot, сделайте следующее:
– поищите папку Wsnpoem
– поищите файлы с именами NTOS.EXE, LD08.EXE, LD12.EXE, PP06.EXE, PP08.EXE, LDnn.EXE и PPnn.EXE. Но возможны варианты. “Весит” файл 40- 150 Кбайт и имеет атрибут “скрытый”.
– проверьте реестр. ZeuS делает там изменения, чтобы получить для себя права администратора компьютера.
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon
было:
“Userinit” = “C:WINDOWSsystem32userinit.exe”
стало:
“Userinit” = “C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32sdra64.exe”

а так же в HKCUSoftwareMicrosoftWindowsCurrentVersionRun
добавлено:
“Userinit” = “C:Documents and Settings<user>Application Datasdra64.exe”

– Обновите свой антивирус и он сам всё сделает 🙂

А администраторам корпоративных сетей настоятельно рекомендую ознакомиться с ZeuS blocklist.