Ботнеты: игра в прятки на Web 2.0

Операторы ботнетов, стремясь скрыть служебный трафик от обнаружения, направляют его по легитимным веб-каналам. Их последним нововведением является использование возможностей, предоставляемых социальными сервисами — Twitter и Google Groups.

В середине августа эксперты Arbor Networks обнаружили в микроблогах Twitter несколько аккаунтов, с которых осуществлялось управление резидентными даунлоудерами. Бот-агент получал зашифрованные команды в виде статусных сообщений, передаваемых по RSS-каналу. В них указывались ссылки на файл, подлежащий загрузке, — программу, ворующую пароли клиентов бразильских банков. Когда профили, задействованные для управления ботнетом, заблокировали, аналогичная система управления всплыла на Jaiku.com.

Спустя месяц антивирусная база Symantec пополнилась программой-бэкдором, которой было присвоено наименование Trojan.Grups. Этот ничем не примечательный троянец, используя Gmail-аккаунт, регистрируется на Google Groups и запрашивает определенную страницу в одной из тематических конференций, escape2sun. Как выяснилось, страница содержит зашифрованные команды, выполнив которые, бот-агент публикует отчет в конференции, также предопределенным шифром.

Таким образом, оператор ботнета получил возможность анонимно контролировать зараженные ресурсы, не раскошеливаясь на командный сервер и его защиту. Однако, по словам экспертов, применяемая злоумышленниками методика управления небезупречна. Ведение троянцем отчетности через постинги позволяет следить за его активностью, наблюдать распространение инфекции и определить цели, преследуемые его повелителем.

По данным Symantec, Trojan.Grups был запущен в ноябре прошлого года. Поскольку общение в escape2sun ведется на упрощенном китайском языке, а в командах присутствуют ссылки на домены в зоне .tw, велика вероятность, что его владельцы живут на Тайване. Судя по низкой активности, небольшому количеству заражений и скромным срокам присутствия на зараженной машине, троянец предназначен для проведения точечных атак с целью промышленного шпионажа. Некоторые особенности исходного кода свидетельствуют о том, что это экспериментальная версия, призванная проверить эффективность нового способа управления.