Читать «Компьютерра #25-26 (789-790)» онлайн - страница 24

Если переходить на язык цифр, то количество зомби-машин, объединяемых центром управления сети Torpig, на момент исследования составляло около 182 800. При этом свыше 17 200 компьютеров из этого числа принадлежали корпоративным сетям фирм и учреждений. Поскольку целью исследования была не ликвидация или модификация криминальной сети, а максимально возможный сбор сведений о работе ботнета, ученые просто наблюдали за автоматически происходящей работой из захваченного центра управления, а также накапливали и изучали всю ту информацию, что боты похищают из зараженных ПК.

За 10-дневный период, доступный для наблюдения, ботнет выкачал свыше 69 гигабайт чувствительных данных из машин ничего не подозревающих пользователей. В соответствии с настройками шпионских ботов, по преимуществу это была информация для доступа к банковским счетам и реквизиты кредитных карт, списки адресов электронной почты для спам-рассылок, логины-пароли для доступа к email- и прочим защищенным эккаунтам пользователей, а также файлы Windows-паролей и вводимых с клавиатуры текстов, перехватываемых кейлоггерами. В общей сложности за этот срок ботнет Torpig похитил 1660 уникальных номеров кредитных и дебетовых карточек, плюс информацию о 8310 счетах в 410 разных финансовых учреждениях. Среди наиболее активно атакуемых целей похитителей были сервисы РауРа! (1770 аккаунтов), Poste Italiane (765), Capital One (314), E'Trade (304) и Chase (217). Вся информация, которую ботнет собрал под контролем исследователей, затем была передана пострадавшим финансовым институтам и правоохранительным органам. Как пояснил эту часть работы один из руководителей операции, доцент университета Джованни Винья, «нашей целью было понять характерные черты жертв ботнета».

Первый из «уведенных» доменов типа .com, на котором был размещен центр управления угонщиков, был закрыт менее чем через наделю, 30 января 2009, когда один из банков пожаловался на криминальную активность сайта регистратору доменных имен. Что, впрочем, отнюдь не было воспринято командой как неудача: «Это был хороший признак, демонстрирующий, что где-то люди реально заняты выявлением вредоносной деятельности». Угонщики владели следующим именем из генерируемого ботами списка, типа .net, поэтому без проблем продолжили контроль за сетью. Однако 4 февраля изучение прирученного ботнета в работе полностью прекратилось, поскольку настоящие владельцы Torpig распространили новую версию кода, которая изменила алгоритм, использовавшийся ботами для выбора новых доменных имен, и вернула ботнет под свой контроль.