האקרים מנסים למכור את רשת המחשבים הנגועים בווירוס Storm

סטורם יוצר רשת של מחשבים נגועים שיכולים לשמש להפצת ספאם | צלם: TheMarker

כך טוען מומחה אבטחה, שמעריך כי מספר המחשבים הנגועים בווירוס עשוי להגיע לכרבע מיליון

21.10.07 | 10:09  IDG
Internet | Security

ההאקרים שעומדים מאחורי הסוס הטרויאני הידוע לשמצה סטורם (Storm) עושים הכנות לחלק את רשת המחשבים שנפגעו מהתוכנה הזדונית (botnet) כך שיוכלו "למכור" חלקים ממנה לספאמרים ולגורמים עויינים אחרים, כך לטענת מומחה אבטחה החוקר את התחום.

"זה עשוי להיות צעד מקדים למכירתו של סטורם לגורמים אחרים כמערכת שלמה להפצת ספאם שכוללת בתוכה גם שרת DNS ויכולות אירוח", אומר סטיוארט. "אם זה אכן המצב, אנחנו עלולים להתקל בסטורם עוד הרבה פעמים בעתיד"

זהו לפחות ההסבר ההגיוני ביותר למנגנון ההצפנה החדש שמאבטח את תעבורת השליטה ובקרה (command-and-control) העוברת בין מנהיג הרשת לבין חבריה, אומר ג'ו סטיוארט, חוקר אבטחה בכיר בחברת SecureWorks.

לדברי סטיוארט, שעוקב מקרוב אחרי סטורם מאז הופיע לראשונה בחודש ינואר, גרסתו החדשה של הסוס הטרויאני כוללת מפתח באורך 40 בייט שמשמש להצפנת כל התעבורה המכילה פקודות שליטה ובקרה. שלא כמו סוסים טרויאניים אחרים העושים שימוש בתקשורת IRC, סטורם עושה שימוש דווקא בתקשורת P2P על מנת לקבל פקודות, טקטיקה ההופכת אותו לקשה יותר לגילוי.

"אחת האפשרויות היא שהם מפצלים את הרשת של המחשבים הנגועים ומוכרים חלקים ממנה לספאמרים", טוען סטיוארט. "אם הם מעוניינים למכור, הם צריכים שכל קבוצה תימצא על רשת נפרדת. הדרך הקלה ביותר לעשות את זה היא בעזרת הצפנה של תעבורת ה-P2P".

אם סטיוארט צודק, והאנשים האחראיים על סטורם מתכוננים למכור את השימוש ב-botnet, מדובר בהחלט בחידוש. עד עכשיו, סטורם היה עסוק בעיקר בלהפיץ את עצמו לכמה שיותר מחשבים בעולם, ונוצל מספר פעמים לקמפיינים של הרצת מניות באמצעות ספאם. אין שום ראיות לכך שהרשת הנגועה הושכרה או נמכרה בעבר, אומר סטיוארט.

"זה עשוי להיות צעד מקדים למכירתו של סטורם לגורמים אחרים כמערכת שלמה להפצת ספאם שכוללת בתוכה גם שרת DNS ויכולות אירוח", אומר סטיוארט. "אם זה אכן המצב, אנחנו עלולים להתקל בסטורם עוד הרבה פעמים בעתיד".

"הדיעות חלוקות לגבי גודלה של רשת המחשבים הנגועים אותה הצליח סטורם לבנות. חוקרי אבטחה מסוימים טוענים שמדובר במליונים. סטיוארט לעומת זאת, מאמין שמדובר במספר קטן הרבה יותר - כרבע מיליון"

סטיוארט, שהגדיר את מנגנון ההצפנה החדש בו עושה סטורם שימוש כ"לא חזק במיוחד", אומר שהתוספת החדשה עשויה דווקא לסייע למומחי האבטחה - בצורה זו יהיה קל יותר להפריד את פקודות השליטה ובקרה משאר התעבורה ברשת ה-P2P. "זה הופך את המשימה למעט קלה יותר. ניתן יהיה בעזרת בדיקה מהירה לקבוע האם התעבורה מגיעה מקודקוד ברשת המריץ סטורם או לחילופין, מלקוח P2P רגיל".

סטורם הופיע לראשונה בחודש ינואר, אז הופץ באמצעות הודעות דוא"ל פיקטיביות שדיווחו על סערת ענק באירופה (ומכאן שמו). הוא ידוע בשימוש שהוא עושה ב-rootkits (תוכנות שנועדו לאפשר הסתרת תהליכים וקבצים), בשינויים התכופים שהוא עושה ברשומות ה-DNS על מנת להתחמק מנסיונות יירוט, וכן בשימוש החכם בטקטיקות הטעיה, שמאפשרות לו להוליך שולל משתמשים ולגרום להם לפתוח קבצים נלווים או להקליק על קישורים.

הדיעות חלוקות לגבי גודלה של רשת המחשבים הנגועים אותה הצליח סטורם לבנות. חוקרי אבטחה מסוימים טוענים שמדובר במליונים. סטיוארט לעומת זאת, מאמין שמדובר במספר קטן הרבה יותר - כרבע מיליון. "הנתונים אותם קיבלנו מה-MSRC (מרכז תגובות האבטחה של מיקרוסופט) מאששים לדעתי את ההערכה הזו", הוא מוסיף.

בחודש שעבר דיווח ג'ימי קו מה-MSRC כי על סמך ניתוח הנתונים שהתקבלו מכלי הסרת התוכנות הזדוניות של מיקרוסופט (Windows Malicious Software Removal Tool), סטורם הגיע רק למקום השלישי, והוסר "רק" מ-274,000 מערכות.

"רוב רשתות המחשבים הנגועות שנמכרות לספאמרים כוללות 5,000 עד 10,000 מחשבים", אומר סטיוארט, ומרמז למעשה בדבריו כי ניתן לחלק את הרשת של סטורם במספר רב של אופנים. "עם זאת, עד עכשיו ראינו רק מפתח הצפנה אחד, כך שייתכן שמדובר אך ורק בבדיקה לראות האם המנגנון החדש עובד".