Крупная хакерская кампания «Операция Windigo» стала одной из наиболее живучих в виртуальном пространстве. Несмотря на аресты организаторов и пристальный интерес со стороны специалистов по безопасности, она не только продолжается на протяжении семи лет, но и становится все изощреннее. Как слаженная работа нескольких вирусов превратилась в машину зла и почему они уничтожают все на своем пути — в материале «Ленты.ру».
Вредоносная кампания была обнаружена в 2014 году. Тогда группа экспертов в области кибербезопасности опубликовала отчет, в котором рассказывалось о мощном ботнете Windigo. К тому времени он функционировал уже несколько лет (предположительно с 2011 года) и сумел захватить более 25 тысяч серверов и бесчисленное количество устройств. Ему подчинились машины, работающие практически на всех популярных операционных системах.
Секретом поразительной эффективности оказалось множество различных компонентов, формирующих слаженные атаки. По сути, каждый из них мог выполнять роль отдельного ботнета, поэтому их общие усилия приводили к фатальным последствиям. За заражение в сети отвечал вирус Cdorked, за компрометацию операционной системы — код Calfbot. Помогала им спам-программа под названием Glupteba, часто сопровождаемая установщиком Leechole. Еще одним агрессором выступал механизм-кликфрод Boaxxe, который генерировал обманные клики на заданных веб-страницах.
Основным заражающим элементом была названа многофункциональная программа-бэкдор Ebury. Она компрометировала серверы на Linux (наиболее распространенные в мире) и превращала зараженные объекты в новых солдат ботнета. Именно Ebury за несколько лет завоевала десятки серверов, ставя под удар полмиллиона компьютеров каждый день. Подчиненные власти операторов, «павшие» становились носителями и распространителями вирусов, выкрадывали данные в интересах «хозяев» и рассылали спам. За сутки сеть могла выслать 35 миллионов писем и направить сотни тысяч пользователей на веб-страницы с зараженным контентом.
Попасть в ловушку злоумышленников мог любой пользователь сети — достаточно было посетить сайт, расположенный на зараженном сервере. Со страницы входа механизм перенаправляет его на вредный домен, который создан на основе оригинального. Юзер попадает в паутину обратных прокси-серверов, которые в итоге устанавливают на устройство вредные программы (к примеру, спам-механизм Glupteba) или редиректят его на рекламные веб-страницы. Так пользователи MacOS невольно заходили на некий сайт знакомств, а владельцы гаджетов от Apple — на порноресурсы. Владельцы компьютеров на Windows попадали в капкан уязвимостей браузера или его плагинов — их ожидало заражение вирусами.
В случае с серверами в игру включался Calfbot, который также заставлял зараженное устройство рассылать спам-сообщения. Как правило, это были рекламные объявления, предлагающие в том числе отписаться от «рассылки», — так преступники одновременно обходили фильтрующие почтовые механизмы и получали активные клики.
Изначально злоумышленники пользовались набором эксплоитов Blackhole, широко распространенном в даркнете, однако потом перешли на иные механизмы. Вероятнее всего, это произошло после ареста создателя популярного набора Дмитрия Федотова, известного как Paunch. О его поимке стало известно в 2013 году, а весной 2016-го Замоскворецкий суд Москвы приговорил хакера к семи годам тюремного заключения.
Не миновало правосудие и мощную «Операцию Windigo». В январе 2015 года американские правоохранители заочно предъявили обвинения предполагаемому создателю Ebury и одному из организаторов ботнета. Поводом послужили попавшие в сеть тысячи американских машин. Выйти на него удалось с помощью слежки за доходами рекламных сетей. Выявив след поставщиков «нежелательных», а по сути насильных предложений, которые были вынуждены наблюдать пользователи зараженных устройств, сотрудники ФБР идентифицировали преступника.
Злоумышленником оказался 41-летний житель Великого Новгорода Максим Сенах. В августе 2015 года он был арестован правоохранительными службами Финляндии и экстрадирован в США, несмотря на протесты российской стороны (представитель МИД Мария Захарова назвала этот случай «охотой на ведьм»). Американское правосудие вменяло Сенаху насильную «установку и использование вредоносного ПО на десятках тысяч компьютерных серверов по всему миру для получения миллионов долларов путем мошенничества».
Изначально россиянин отвергал все 11 пунктов обвинения. Обе стороны готовились к суду присяжных, несколько специалистов по кибербезопасности готовились выступить в пользу официального следствия. Однако в марте 2017-го россиянин признался в курировании ботсетей и получении крупной прибыли от вредного трафика. Таким образом он заключил сделку со следствием в обмен на снятие десяти прочих инкриминируемых ему пунктов.
В письменном соглашении с представителями власти Сенах заявил, что поддержал преступный сговор, зарегистрировав ряд доменов, которые стали позднее частью инфраструктуры ботнета. Согласно официальным документам, хакеры использовали сеть для генерации и редиректа интернет-трафика — ради мошеннических махинаций, приносящих доходы. Прибыль преступников исчислялась миллионами долларов.
Россиянину грозило до 30 лет тюремного заключения, однако благодаря сделке со следствием и полному признанию вины суд назначил ему наказание в виде 46 месяцев лишения свободы без возможности покинуть тюрьму условно-досрочно. По окончании срока он будет депортирован на родину. «Киберпреступники, такие как господин Сенах, должны обратить внимание на то, что они не защищены от обвинения в США только потому, что действуют издалека или под прикрытием технологий. У нас есть способность и решимость идентифицировать их, найти и привлечь к ответственности», — заявил тогда исполняющий обязанности помощника генерального прокурора Кеннет А. Бланко. Его поддержал специальный агент ФБР, сообщив, что этот приговор является сигналом для всего международного сообщества хакеров, которые надеются на свою безнаказанность, нападая при этом на американский народ.
Однако после ареста Максима Сенаха масштабная «Операция Windigo» не остановилась. Его отключение от преступной схемы лишь деактивировало одну из программ-компонентов, которая отвечала за редирект трафика. На смену ей пришли другие, более усовершенствованные коды, а пресловутый Ebury переродился.
Видимо, члены преступной группировки, курирующие ботнет Windigo, пристально следят за деятельностью специалистов по кибербезопасности, изучающих и разоблачающих деятельность хакеров. Они постоянно дорабатывают механизмы заражения, совершенствуя свою сеть и делая ее почти неуловимой. Так, новый вариант Ebury получил специальную маскировку и новые механизмы внедрения через бэкдор. Ранее разработанные экспертами индикаторы проникновения оказались бессильны против усовершенствованной версии программы.
Не отстают и прочие программы-компоненты: некоторые шагнули в развитии так далеко, что учредили свои собственные империи. За несколько лет винтик в системе кампании «Операция Windigo» эволюционировал в самостоятельный крупный ботнет. Вредная спам-программа Glubteba полностью изменилась и зажила собственной жизнью, принося своим операторам немалый доход.
Недавний анализ показал, что вредоносный код был переписан заново и сильно усложнен: если в составе ботнета Glubteba справлялась с 70 функциями, то сейчас их более 3,6 тысячи. Это позволило ей покинуть инфраструктуру Windigo. В своей новой «империи» программа занимается не только привычным ей спамом, но и выступает в роли прокси-сервиса для разных систем. Судя по последним проявлениям механизма в сети, организаторы предлагают свои услуги злоумышленникам для организации атак.
С начала 2017 года Glubteba проявила себя в 180 странах мира, притом четверть всех диверсий киберпреступников приходится на Россию, Украину и Турцию. Смена тактики ведения виртуальных завоеваний и частые обновления свидетельствуют о том, что операторы не намерены упускать возможность подзаработать с помощью нового мощного оружия. Эксперты предполагают, что новоявленная сеть еще неоднократно заявит о себе.
Живучесть Windigo и его компонентов доказывает, что хакеры серьезно взялись за дело, денно и нощно модифицируя свой продукт. Пока будет существовать эта сеть, тысячи серверов, миллионы компьютеров и мобильных устройств по всему миру будут находиться под угрозой. Все эти машины — потенциальные способы преступного заработка. Как минимум семилетняя история этого ботнета говорит о том, что сеть продолжит расширяться, а количество участников преступной схемы, скорее всего, умножится. К слову, Максим Сенах выйдет на свободу менее чем через три года.