8 lutego 2016

Trojan.Dyre stał się głośny w 2015 roku. Upłynęły dwa miesiące od dnia w którym organy ścigania przeprowadziły szeroko zakrojoną operację w celu schwytania gangu odpowiedzialnego za dystrybucję wirusa Trojan.Dyre, a mimo to ten trojan ponownie ujrzał światło dzienne. Massmedia utrzymują, że ten złośliwy program zagrażający od lata 2014 roku organizacjom finansowym na całym świecie został wyeliminowany. Mimo to agencje bezpieczeństwa nie są chętne, aby ogłosić sukces.

Specjaliści Doctor Web wciąż zwracają wzmożoną uwagę na aspekty dystrybucji wirusa Trojan.Dyre i badają jego infrastrukturę. Warto zauważyć, że ten złośliwy program jest „klasycznym” przykładem tego, w jaki sposób przeprowadzany jest model CaaS (crime-as-a-service – przestępstwo jako usługa). “Klienci tej usługi” otrzymują narzędzie służące do generowania próbki tego trojana. Tym samym jego sygnatura może być zmieniana bardzo często, co czyni go prawie niewrażliwym na oprogramowanie antywirusowe. Wszystkie pozyskane informacje zapisane wcześniej na zainfekowanych urządzeniach były wysyłane na serwery C&C. Następnie informacje były przetwarzane i zlokalizowane w panelu administracyjnym dostępnym dla tych “użytkowników”, którzy zapłacili za dostęp do niego. Panel był podzielony na kilka części, takich jak zarządzanie botnetami i wyszukiwanie oparte na logach. Oprócz tego było kilka innych grup paneli. Przychodzące dane mogły być filtrowane w zależności od tego, jakie informacje chcieli pozyskać z nich cyberprzestępcy — na przykład loginy i hasła.

Według specjalistów Doctor Web, infrastruktura wirusa Trojan.Dyre jest dość unikalna, ponieważ jest o wiele bardziej skomplikowana w porównaniu do innych znanych złośliwych programów o charakterze finansowym. W większości przypadków informacje z zaatakowanych maszyn były wysyłane na serwer na którym zlokalizowany był panel kontrolujący boty, jednak twórcy Trojan.Dyre wdrożyli różne technologie, co dowodzi, że gang posiadał znaczące zasoby, zarówno finansowe jak i ludzkie. Co więcej, oprogramowanie serwerów przetwarzających informacje otrzymane z botów było napisane w .Net, a panele do administrowania botnetami — z użyciem platformy php Kohana. Aby zapisać i przetworzyć zestawy danych nadchodzące z dowolnego miejsca na Ziemi, przestępcy użyli baz postgres i mysql, oraz sphinx’a – serwera oferującego mechanizmy wyszukiwania pełnotekstowego. Do wszystkich nadchodzących informacji były przypisywane specjalne filtry, więc cyberprzestępcy szybko mogli znaleźć dowolne informacje, o które w danej chwili im chodziło — loginy, hasła, numery kart bankowych, dane personalne użytkowników, itp. Aby utrudnić wykrycie serwerów, użyto serwerów Tor i serwerów proxy powiązanych z użyciem openvpn. Główną cechą ataków wirusa Trojan.Dyre było to, że lokalizował on pierwszą warstwę proxy na zhakowanych routerach, których tabele routingu zostały zmodyfikowane. Routery wi-fi były hakowane poprzez złamanie haseł metodą brute-force, ponieważ użytkownicy bardzo często nie zmieniają domyślnych ustawień swoich routerów, a część ofiar nawet nie zdaje sobie sprawy z tego, że routery mogą być kiedykolwiek użyte do infekowania ich maszyn.

Niemniej jednak analitycy Doctor Web zdołali zidentyfikować kilka adresów serwerów C&C trojana. Co więcej, ujawnili składniki infrastruktury wirusa Trojan.Dyre i przechwycili kilka połączeń przychodzących z zainfekowanych maszyn. Tym samym specjaliści na czas zapewniali kilku europejskim bankom i organom ścigania wiele ważnych informacji.

Pomimo materiałów opublikowanych przez massmedia, analitycy bezpieczeństwa Doctor Web uważają, że Trojan.Dyre wciąż stanowi zagrożenie, gdyż regularnie rejestrują masowe wysyłki e-maili zawierające przykłady tego trojana, co świadczy to tym, że niektóre serwery z tej infrastruktury wciąż pozostają aktywne. Dlatego ta historia wciąż jest jedną z tych, dla których “ciąg dalszy nastąpi”.