Во вторник 12 апреля на территории США спецслужбы провели первую в своем роде операцию. Сотрудники ФБР установили свои серверы у некоторых провайдеров и с этих серверов послали команду на огромное число частных компьютеров. Таким образом они решили остановить работу ботнета под названием Coreflood.
Ботнет представляет собой сеть компьютерных вирусов. Вирус распространяется с определенных страниц в Интернете. Эти страницы – своеобразные минные поля, с которых на компьютер пользователя попадает троян или его загрузчик. В случае Coreflood, инфекция многоступенчатая: сначала устанавливается один троян, который вызывает загрузку установщика вируса, и уже последний устанавливает на компьютере Coreflood.
Этот ботнет существует как минимум с 2002 года – тогда его начали регистрировать. В то время он представлял собой троян для пользователей IRC-чатов. С тех пор он усовершенствовался. Его «крестные отцы» наделили его очень нехорошими привычками. В настоящий момент он способен перехватывать имена пользователей и пароли банковских счетов, а также личную информацию о пользователе и пересылать ее киберпреступникам. Эти данные собираются именно сетью вирусов, что важно отметить. Те, кто ее создал и те, кто похищают с ее помощью деньги, могут находиться в любой точке мира и прямо не участвовать в акте перехвата информации. Эти люди, тем не менее, в конечном счете получают нужные им сведения и с их помощью снимают с банковских счетов деньги.
Что касается Coreflood, существует предположение, что преступники находятся на территории Российской Федерации. Вообще, такого рода сети, как правило, действуют на территории других государств. Это облегчает преступникам уход от обнаружения и ответственности.
В истории с Coreflood есть несколько трудно объяснимых обстоятельств. Во-первых, об этом ботнете известно уже около десяти лет. В 2008 году сотрудники отдела безопасности сетей компании Dell описали, как они обнаружили сервер, на котором хранилось 50 Гб информации о 378 758 зараженных пользователях с датами их заражения и украденной у них информацией.
Казалось бы, вопрос стоял серьезно уже тогда. Тем не менее, поиск по Интернету и сегодня не дает никакого инструмента для удаления этого вируса с личного компьютера. «Майкрософт» заявил о создании программы удаления, но ссылок на нее Google не знает. Между тем на февраль 2010 года число зараженных этим вирусом только в США составило уже 1 853 005 пользователей, а по всему миру – свыше 2,3 миллиона. Вирус особенно активно заражал компьютерные сети крупных организаций. Остается непонятным, почему при таком масштабе угрозы не появилось эффективных средств очистки от вируса.
Во-вторых, действия ФБР по нейтрализации ботнета представляют собой буквально следующее. Министерство юстиции США получил разрешение на замену серверов и на отсылку команды, приостанавливающей действие вируса на частные компьютеры. Существенно то, что эта команда не очищает компьютеры от вируса, а только останавливает его работу. При перезагрузке вирус может вновь активироваться. Пользователи при этом не получили никакого уведомления о том, что происходит с их машинами во время этих действий.
Крис Палмер из организации Electronic Frontier Foundation охарактеризовал эти действия как «крайне непродуманные». Это первый прецедент в США, когда государственная правоохранительная организация получила легальное разрешение на прямое вмешательство в огромное количество частных компьютеров. Остается непонятным, почему зараженные пользователи не были об этом оповещены провайдерами, и почему им не была предоставлена возможность очистить компьютеры. Именно так обычно происходит очистка от вирусов.
В-третьих, если преступники действительно находятся на территории РФ (или любого другого государства), почему за 10 лет существования вируса они не были выявлены, и им не было предъявлено обвинение? Понятно, что технически создание подобных сетей доступно сегодня многим программистам, и что созданные ими ботнеты могут легко пересекать границы государств. Обнаружить каждого любителя пошарить в чужом компьютере сложно, но учитывая масштаб проблемы, совершенно неясно, почему понадобилось ждать 10 лет до первых действий правоохранителей.
Недавний прецедент с так называемым королем спама указывает, что механизмы для выявления киберпреступников за границей существуют, и что при желании они могут давать результаты. Правда, созданный королем спама вирус заразил 12,7 миллионов компьютеров, отправлявших от одной пятой до трети всего спама на свете, и только после этого его остановили. Создателем сети Rustock, рассылавшего до 20% мирового спама лекарственного препарата «Виагра», предположительно является некто Игорь Гусев, против которого в России заведено уголовное дело. Сам Гусев виновным себя не признал.
ФБР против компьютерных вирусов
