Ugašeni serveri Koobface virusa

Vesti, 15.11.2010, 00:03 AM

Stručnjaci za kompjutersku bezbednost u saradnji sa policijom i internet provajderima u petak su identifikovali i isključili kompjuter koji je služio kao server za komandu i kontrolu koji je slao instrukcije kompjuterima zaraženim malicioznim programom Koobface. Server je bio jedan od tri Koobaface sistema koji je u petak isključio britanski internet provajder Coreix. Coreix je ugasio servere nakon što su istraživači kontaktirali britansku policiju.

Sve ovo će biti dovoljno tek toliko da oslabi poziciju Koobface-a na neko vreme, ali za pravi efekat moraće da se dogodi mnogo više. Kompjuteri koji su inficirani Koobface-om povezuju se sa posredničkim serverima koji ih potom preusmeravaju ka sada isključenim serverima za komandu i kontrolu.

Akcija koja je rezultirala isključivanjem servera je deo veće operacije koja je započela pre dve nedelje kada je tim iz SecDev Group obavestio internet provajdera o kompromitovanim FTP nalozima, kao i Facebook i Google o stotinama hiljada naloga kojima upravlja Koobface.

Facebook nalozi se koriste da bi se potencijalne žrtve namile da posete stranice Google Blogspot, sa kojih se posetioci preusmeravaju ka web serverima na kojima se nalazi maliciozni Koobface kod. Žrtvama se obično obećava mogućnost pregleda nekog zanimljivog video sadržaja na stranici koja izgleda kao YouTube. Međutim, preduslov za gledanje videa je preuzimanje određenog softvera koji je ustvari Koobface.

Koobface sadrži nekoliko komponenti, uključujući i crva koji pokušava da zarazi računare žrtvinih prijatelja sa Facebook-a, kao i kod bot mreže koji hakerima daje kontrolu nad zaraženim kompjuterom.

Koobface se pokazao veoma unosnim biznisom od momenta kada se prvi put pojavio na Facebook-u, 2008. godine. Procene su da je u periodu od juna prošle do juna ove godine bot mreža zaradila više od dva miliona dolara.

Istraživači su otkrili i podatke uskladištene na još jednom centralnom serveru kojeg Koobface banda koristi za praćenje aktivnosti naloga. Ovaj server svakodnevno šalje tekstualne poruke na četiri ruska broja mobilnih telefona koje sadrže izveštaje o dnevnoj zaradi. Tako je 15. januara ove godine zabeležen gubitak od 1014 dolara i zarada od 19928 dolara 23. marta ove godine.

Isplate Koobaface operaterima vršene su preko Paymer servisa, koji je sličan PayPal-u.

Banda koja stoji iza Koobface-a je koristila hakovane kompjutere kako bi registrovala što više Gmail, Blogspot i Facebook naloga i krala FTP lozinke. Oni su takođe zagađivali pretragu za zaražene kompjutere kako bi prevarom naterali njihove korisnike na klikove na internet reklame, zarađujući na taj način novac i od oglašivača. Pored ovoga, još jedan izvor prihoda je i lažni antivirusni softver koji krišom ulazi u zaraženi računar. Šta više, polovina prihoda kojeg je ostvario Koobface upravo potiče od lažnog antivirusa, a ostatak od internet oglašivača.

Za sada, nema informacija gde se nalazi kriminalna grupa koja stoji iza Koobface-a, ali se pretpostavlja da bar jedan od članova grupe živi u Sankt Petersburgu.

Iako imaju tu mogućnost, operateri Koobface-a nikada nisu pokušavali da hakuju internet bankovne naloge, da kradu lozinke ili brojeve kreditnih kartica, što bi prouzrokovalo daleko veću štetu. Skoro da se može reći da je Koobface grupa imala izvesnu dozu etičnosti i šarma. Ne samo da nisu činili bilo šta što bi značilo daleko veću štetu, iako su imali mogućnosti, već su komunicirali sa istraživačima bezbednosti, obaveštavajući ih o svojim namerama. Njihova kriminalna dela odlikuje masovnost, ali je ipak reč o sitnim prevarama. Međutim, posle napada na njihove servere, moguće je da će ta, skoro prijateljska komunikacija između istraživača i Koobface hakera biti sada zaustavljena.

Osim britanskih vlasti, istraživači bezbednosti obavestili su o svemu nadležne organe u Kanadi i SAD, kompanije Facebook i Google i više internet provajdera o kompromitovanim nalozima. Do sada je identifikovano 20000 Facebook naloga, pola miliona Gmail i Blogspot naloga i hiljade kompromitovanih FTP naloga koje Koobface grupa koristi.