Место преступления: Интернет
Антивирусная программа бьет тревогу слишком поздно. Выясняется, что троян, обнаруженный на компьютере, занимается своей вредоносной работой уже
более двух недель. Как он попал в систему и почему антивирус сообщает о вторжении только сейчас, налоговый консультант Б. объяснить не может. «Мой пакет защитных программ обновляется регулярно, — говорит он, — к тому же я никогда не открываю вложения электронных писем».
Размеры ущерба неизвестны. Антивирус не дает никаких точных сведений о типе вредоносной программы. Господин Б. просит специальную команду CHIP расследовать это дело. По примеру группы следователей из сериала «CSI: место преступления» мы осматриваем место преступления — офис налогового консультанта.
Здесь нас постигает первое разочарование: хозяин пораженного ноутбука все еще продолжает работать на нем.
Из-за этого могут быть потеряны важные улики; существует даже вероятность того, что хакер уже уничтожил лог- файлы и временные документы, которые могли бы помочь следствию. Чтобы предотвратить дальнейшие изменения жесткого диска, мы первым делом создаем его образ. Затем беремся за троян, который господин Б., к счастью, неудалил, а переместил в антивирусный карантин.
Очень скоро мы убеждаемся в том, что троян является модифицированной версией BackOrifice 2000. Впервые он появился еще в 1998 году, но до сих пор не потерял своей привлекательности для хакеров. Используя его исходный код и модульный принцип, интернет-гангстеры с помощью таких плагинов как Remote Desktop и Password Extractor настраивают программу в соответствии со своими потребностями. В нашем случае хакер урезал исходный код до минимума и частично переписал его. Сигнатура трояна изменилась, благодаря чему злоумышленник смог обманывать антивирусную программу в течение двух недель. Кстати, антивирусу удалось обнаружить вредителя благодаря чистой случайности: совсем недавно была открыта другая версия трояна, имеющая такую же сигнатуру.
Чтобы разобраться в намерениях хакера, необходимо выяснить, для чего предназначен троян. Оказывается, программа выполняет только одну команду. По сигналу взломщика троян посылает ему документы, которые находятся на пораженном компьютере. Для жертвы, господина Б., это может обернуться катастрофой, потому что на его жестком диске хранятся конфиденциальные данные всех клиентов. Следы преступления уже стерты, и установить, какие именно файлы украдены, невозможно. Остается предположить, что могут быть затронуты интересы любого из клиентов.
Маскировка и обман
Чтобы узнать о хакере больше, мы ищем лазейку, через которую троян проник в систему. Большинство хакерских атак происходит через вебсайты и электронную почту. К сожалению, здесь нас ожидает еще одно разочарование. Программа безопасности имеет буфер, из которого после окончания работы удаляются cookie-файлы браузера и протокол.
Мы переходим к программам, которые жертва установила на своем компьютере за последнее время. Господин Б. убежден, что в них не может быть ничего опасного. «Недавно я даже установил новейший антишпионский софт», — говорит он. Наши эксперты настораживаются: им не знакомы ни название этой программы, ни фирма-разработчик. Обычное защитное приложение при детальном рассмотрении оказывается шпионом Rogue-Anti-Spyware, который бессовестно маскируется под охотника на вредителей.  Итак, страх перед программами-шпионами загнал господина Б. прямо в хакерскую ловушку, как, впрочем, и многих других пользователей. Доверчивые жертвы предоставляли мнимой программе безопасности права администратора. Остается невыясненным вопрос о том, как эта программа вообще попала на компьютер господина Б. К нашему изумлению, он достает из ящика стола флеш-карту USB: «Она была здесь. Это рекламный подарок, присланный мне одной фирмой, которая занимается компьютерной безопасностью. И знаете, я уже пытался им позвонить…» Дело оказывается по-настоящему опасным: это не обычная интернет-атака на неосторожного пользователя. На компьютер господина Б. вирус был внедрен целенаправленно. Наша команда хочет выяснить, кто это сделал. Для этого мы решаем попытать счастья с разоблаченным вредителем и устанавливаем вирус на наш тестовый компьютер. Загрузившись, программа начинает скачивать из Интернета обновление. Это выглядит как обновление сигнатур, необходимых для поиска программ- шпионов, однако вместо них загружается троян.
Трюк с флеш-драйвом USB
Хакерский трюк, с которым мы имеем дело, отнюдь не является чем-то уникальным. Нью-йоркский эксперт по компьютерной безопасности Стив Стасюконис из компании Secure Network Technologies провел эксперимент, доказавший, что чаще всего человека подводит любопытство. Некий банк поручил Стасюконису провести проверку безопасности, включающую социальный инжиниринг. В подобных случаях эксперты флиртуют с секретаршами и подслушивают в курилках, чтобы обнаружить слабые места компьютерных систем или раздобыть пароли.
Стив Стасюконис воспользовался другой хитростью, которая впечатляет своей простотой и эффективностью. Как бы невзначай он оставлял в офисных помещениях «флешки» с трояном. Любопытные сотрудники банка, находившие эти устройства, подключали их к своим рабочим компьютерам. Уловка сработала в 75% случаев! В результате Стасюконису удалось получить логины и пароли, а также другую важную информацию об интересующих его системах.
Кража данных, не оставляющая улик
Несмотря на кажущуюся простоту подобной атаки, в случае господина Б. очень трудно проследить, кто ее провел. Хакер вовремя деактивировал троян и уничтожил следы. Теперь у него есть копии конфиденциальных документов жертвы. Скорее всего, речь идет о заказном шпионаже, следовательно, господину Б. приходится рассчитывать на максимальные потери. Никаких дополнительных улик экспертам найти не удалось. Для господина Б. этот случай будет горьким уроком: доверять рекламным подаркам нельзя.
Валентин Плетцнер
| 
Каталог статей
