Clampi - wielki, złodziejski botnet?

securitystandard.pl 3 sierpnia 2009 07:18 securitystandard
W Internecie działa nieznany do tej pory, gigantyczny i świetnie zamaskowany botnet, wykorzystywany przez przestępców do masowego wykradania poufnych danych - m.in. informacji niezbędnych do logowania się do e-banków oraz numerów kart płatniczych. Wykrył go znany specjalista od sieci zombiePC, Joe Stewart (szef działu badań firmy SecureWorks), który twierdzi, że "Clampi to prawdopodobnie najbardziej profesjonalnie napisany złośliwy kod, jaki kiedykolwiek powstał".
Clampi to botworm - czyli program, zmieniający zainfekowane przez siebie komputery w elementy botnetu (sieci komputerów zdalnie kontrolowanych przez przestępców). Stewart szacuje, że szkodnik mógł zainfekować nawet milion komputerów na całym świecie (na razie trudno oszacować dokładną liczbę - specjalista mówi, że zawiera się ona między 100 tys. a 1 mln.).

Jego zdaniem, Clampi jest najlepiej napisanym botwormem, jaki do tej pory pojawił się w Sieci - jest wyposażony w zestaw zupełnie unikalnych funkcji, doskonale ukrywa się przed użytkownikiem oraz oprogramowaniem zabezpieczającym. Co więcej - potrafi wykradać dane niezbędne go logowania się do ponad 4,5 tys. różnych stron (serwisów bankowych, finansowych, e-sklepów itp.). "To porażająca liczba - zwykle takie programy próbują przechwytywać dane logowania dotyczące 20, czasami 30 stron" - tłumaczy Stewart (który zdołał zidentyfikować już ok. 1/3 tych witryn).

Clampi najczęściej pojawia się w komputerze w postaci zainfekowanego załącznika do wiadomości e-mail (choć odnotowano również przypadki infekowania systemu za pośrednictwem odpowiednio spreparowanej strony WWW). Po zainstalowaniu systemu Windows trojan zaczyna sprawdzać, jakie strony są wyświetlane w przeglądarce - jeśli będzie to jedna z 4,5 tys. "obsługiwanych" przez niego witryn, natychmiast zacznie zapisywać nazwy użytkownika, hasła, PIN-y itp.

Co pewien czas szkodnik kontaktuje się z serwerem kontrolnym i przekazuje tam przechwycone dane - z analiz przeprowadzonych przez SecureWorks wynika, że przestępcy błyskawicznie wykorzystują do informacje do wykradania pieniędzy z kont.

Ten opis pasuje do wielu podobnych aplikacji - ale Stewart podkreśla, że Clampi jest wyjątkowy. Choćby dlatego, że korzysta z wielowarstwowego szyfrowania oraz niezwykle skutecznych metod maskowania swojej obecności w systemie - to właśnie dzięki temu jego twórcom udało się praktycznie niepostrzeżenie zbudować jeden z większych botnetów.

Specjalista mówi, że na pierwszy trop nowego, wielkiego botnetu wpadł już w 2007 r. - ale dopiero w tym roku udało mu się "rozpracować" nowe zagrożenie. Nie było to łatwe, bo Clampi jest niezwykle skomplikowanym botwormem - zaszyfrowane są nie tylko dane, które "szkodnik" wysyła i odbiera od serwera kontrolującego, ale także elementy jego kodu. Co więcej - jego autor (lub autorzy) wykorzystał 448-bitowe szyfrowanie algorytmem Blowfish. Clampi ma jeszcze jedną, dość nietypową właściwości - składa się z kilku oddzielnych komponentów (ich liczba jest różna - waha się od 4 do 7), przechowywanych w różnych lokalizacjach w systemie. Zdaniem Stewarta, to właśnie dzięki temu tak trudno go wykryć standardowymi narzędziami antywirusowymi.

Na tym nietypowe cechy botworma się nie kończą; programy wyspecjalizowane w wykradaniu haseł zwykle kradną przede wszystkim dane niezbędne do zalogowania się do e-banków oraz informacje o kartach kredytowych. Clampi działa znacznie szerzej - oprócz danych kont oraz kart płatniczych przechwytuje loginy i hasła do tysięcy różnych serwisów - m.in. witryn przeznaczonych dla żołnierzy, serwisów finansowych, ubezpieczeniowych, kasyn internetowych, sieci reklamowych. "Szkodnik" nie ogranicza się do jednego czy dwóch krajów - z analiz przeprowadzonych przez Stewarta wynika, że Clampi obsługuje strony z 70 różnych krajów. "Samo to świadczy o tym, na jak gigantyczną skalę prowadzona jest ta operacja przestępcza" - mówi specjalista.

Na razie nie wiadomo, kto jest autorem i operatorem botnetu Clamp - Joe Stewart twierdzi, że wszystkie tropy prowadzą do Rosji lub jednego z krajów Europy Wschodniej. "Wygląda na to, że botnet kontrolowany jest przed jedną, konkretną grupę, która - co ciekawe - wydaje się działać w totalnej izolacji od innych podobnych formacji przestępczych. Oni nie udzielają się na forach odwiedzanych przez cyberprzestępców - wydaje się, że nawet ich konkurenci nie bardzo wiedzą, z kim mają do czynienia" - wyjaśnia specjalista.

Stewart mówi też, że jest bardzo prawdopodobne, iż nigdy nie uda się namierzyć osób kontrolujących ten botnet - choćby dlatego, że przestępcy są wyjątkowo ostrożni. Przejawia się to choćby tym, że serwery wykorzystywane do zarządzania siecią nie są hostowane w żadnej firmie (operatorzy botnetów najczęściej namierzani są właśnie przez powiązania z serwerami "dowodzącymi" - dane rejestracyjne, numery kont, z których opłacano hosting itp.). W przypadku Clampi jest zupełnie inaczej - rolę serwerów pełnią komputery zwykłych internautów, które zdołał zainfekować Clampi.

Wiadomo, że twórcy botnetu świetnie na nim zarabiają - w ubiegłym tygodniu okazało się, że z konta pewnej amerykańskiej firmy w tajemniczych okolicznościach zniknęło 75 tys. USD. Specjaliści ds. bezpieczeństwa ustalili, że w komputerach należących do tej firmy był właśnie Clampi - pieniądze ukradli operatorzy botnetu, którzy dzięki "szkodnikowi" zdobyli dane niezbędne do zalogowania się do banku. A takich przypadków z pewnością było znacznie więcej.


Podziel się |

Komentarze (20)

  • konwalia
  • 2009-08-03 07:58:06

O, coś o Doktorze Klampie napisali. :D :D :D

  • ~gość
  • 2009-08-03 08:39:30

Dane o botnecie faktycznie wstrząsające. Nawet,jeśli liczba zainfekowanych hostów to amerykański "milion" 1x10*5, to szok. Domniemuję że zagrożeni są (i zagrożenie stanowią) użytkownicy windowsa, ci którzy pozwalają przeglądarce instalować cokolwiek w komputerze, może bez ich wiedzy (ie?), ci którzy odbierają każdą pocztę jak leci otwierając załączniki .. zaraz. Otwarcie załącznika=instalacja czegoś możliwa jest też tylko w windows? To pozostałe 5% populacji użytkowników komputerów może spać spokojnie.

  • Artur
  • 2009-08-03 10:09:59

ad komentarza Gościa IP 83.2.28.141 - 5% można uznać za błąd statystyczny tak więc tak naprawdę nikt nie może spać spokojnie :)

  • fffatman
  • 2009-08-03 11:47:14

@~Gość IP: 83.2.28.141: Nie ma czegoś takiego jak "amerykański milion" - milion to milion, wszędzie. "Otwarcie załącznika=instalacja czegoś możliwa jest też tylko w windows?" - TE - A - KA, tak. Tak ma nie tylko IE ale i cały ten system z udziwnioną hierarchią upoważnień. "5% populacji użytkowników komputerów może spać spokojnie."? Zależy gdzie, w Polsce .4 - .5% użytkowników prywatnych biurek, na świecie 3 do 4% użytkowników prywatnych biurek... Zaś jeżeli chodzi o administratorów instalacji biznesowych - aż ich nie wyrzucą z roboty za granie lub spanie do wyboru. @Artur: A kto ci powiedział że "można" - pani w przedszkolu? Nie wiesz co błąd statystyczny i skąd się bierze to zmilknij w temacie.

  • fffatman
  • 2009-08-03 11:55:36

Ślady dobrze napisanych robaków zawsze prowadzą do Rosji lub do drugiego jednego z dwóch krajów z niezwykłą dominacją przeglądarki Opera.

  • A
  • 2009-08-03 12:46:00

Idealny przykład jak zarobić na ludzkiej głupocie :P

  • KDT
  • 2009-08-03 12:57:15

Dr.Klapki na Oczach oczywiście wykorzystuje temat do trollowania. NIE KARMIĆ TROLLA!!! NIE ODPOWIADAĆ NA JEGO ZACZEPKI - totalnie szkoda na to czasu.

  • ~gość
  • 2009-08-03 15:29:25

śmiać misie chce - przecież w botnetach działaja komputery które praktycznie wogóle nie sa zabezpieczone..gdyby było inaczej(czyli jak bredzicie w artykule) to można wszystkie zabezpieczenia wyrzucić bo z klampem sobie nie radza.......

  • qrde
  • 2009-08-03 16:10:43

Angielski/amerykański milion, to 1*10^6, a nie 1*10^5, jak ktoś tu napisał - http://pl.wikipedia.org/wiki/Liczebniki_g%C5%82%C3%B3wne_pot%C4%99g_tysi%C4%85ca#Obecny_zasi.C4.99g_geograficzny_d.C5.82ugiej_i_kr.C3.B3tkiej_skali

  • Wesoły
  • 2009-08-03 17:59:15

"Po zainstalowaniu systemu Windows..." Mogli to napisać na początku. Nie zawracał bym sobie głowy tematem. Dr.Klamp - na pewno masz na to niezbite dowody prawda ? Poprosimy ;-) Chciał bym wiedzieć że korzystam z trojana który kryje się pod maską systemu operacyjnego co jest bardziej przebiegłe jak Clampi :P

  • agh
  • 2009-08-03 18:37:21

@ramones "mówię wam tyle razy że linux nie jest taki bezpieczny jak myślicie, a każdy komputer z tym systemem to sieć Zombi", a Ziemia jest płaska, a Księżyc z zielonego sera... Prosimy o dowody, ale Ty przecież wiesz lepiej, no nie? @meritum - ciekawe, czy (i kiedy) w pakietach security będą narzędzia do szukania tego botneta?

  • ufff
  • 2009-08-03 19:12:06

1. po dr nie daje się kropki, ale skąd Klam może o tym wiedzieć? w końcu w przedszkolu tego nie uczą :P 2. czemu panowie z idg nie usuwają trollingowych treści? przecież to ewidentnie psuje sens dyskusji pod tematami. 3. ach, skoro już o nim wiemy, to znaczy przecież, że nie jest jednak świetnie zamaskowany, nie? ;] Pozdrawiam:)

  • ~gość
  • 2009-08-03 20:01:33

@Ramores. Pokaż nam dowody. W końcu je masz. Chcemy być oświeceni itp. Błaaaaagamy. Oświeć nas. Ratuj Linuksiarzy. Powinni kupować Windowsa. Jak można się wyróżniać. To niedopuszczalne. Boże... co za człowiek(?).

  • ~gość
  • 2009-08-03 20:50:45

dr klampie, jesli masz w domku router to praktycznie sam jestes użytkownikiem linuksa.

  • Zdzisław
  • 2009-08-04 08:46:33

Wyjaśniło się skąd drugi nick ramoresa. Clampi - wielki złodziejski botnet. Dr.Klamp - wielki złodziejski id*ota.

  • popdruid
  • 2009-08-04 10:31:49

No i nic dziwnego że się nie afiszują... Prosty przykład - moje zabawy z grami sieciowymi... Wchodzę na Doom3... Skaczę, strzelam - nikt nie zwraca uwagi - jest OK... W pewnej chwili nachodzi mnie ochota na żarty... Włączam bota, celuję w przeciwnika, naciskam kombinację klawiszy, moja postać trzyma się teraz 1 cm od punktu w który celuje 2-gi gracz... facet wywala do mnie cały arsenał z 3 giwer a jak tylko patrzę jak bot automatycznie trzyma się linii strzału... tak jakbyśmy próbowali przygnieść muchę słomką... Tylko że mucha na niej siedzi... :-)) Po 3 minutach facet orientuje się, że cos jest nie tak - wyłącza się, wchodzi na czat i zaczyna lament: oj, ojejej, bez botów - ja tu grać chciałem... A inni - kto co? jakie boty? A kto ma boty? Spociłem sie - cóżem ja najlepszego uczynił?! Wychodze z serwera i włączam sie na inny... Niestety moja sława mnie wyprzedza - po 10 minutach serwer mi dziekuje za współpracę i wykopuje... Potem 1-en, drugi, trzeci... Zmieniam grę... mam ochotę jeszcze poszaleć... Znowu włączam bota... Po czym koszę w niecałe 1,5 minuty cały klan Quake''a3... Przez chwilę plansza jest pusta - nie ma z kim grać... Wdepnąłem! Wchodze na czat... Plansza jest pusta bo każdy kogo zfragnąłem pinguje i telnetuje na mój IP... na czacie slady rozmów - Heniek - ty masz szybsze łącze - skanuj dziada - jeszcze gra to nie zauważy! Pośpiesznie się wyłączam... Przez ułamek sekundy miga mi tylko nazwa klanu... Kojarze, że był kiedyś 2-gi lub trzeci na jakims turnieju... A pół roku później sypia mi sie siwe włosy na skroniach... W wieku 35 lat... Przypadek? Milczenie jest złotem...

  • popdruid
  • 2009-08-04 10:34:46

Dla niezorientowanych - nazywałem sie w tych grach Yang...

  • bastek
  • 2009-08-05 09:34:16

Tak prawde mowiac, myslalem, ze moze jednak w artykule bedzie informacja, jak sprawdzic czy nasze systemy sa zainfekowane.

  • Anna
  • 2009-09-06 00:27:52

Skoro nikt się nie przyznaje to może stać za tym jakaś agencja rządowa np Chińska, a może Talibowie, hahaha

  • aaaaaaa
  • 2009-09-22 13:13:46

>>> amerykański "milion" 1x10*5, to szok >>> ales koles przypalil uuuhahahaha

reklama

Popularne produkty

Nokaut
Trampolina Body Sculpture 366cm

Trampolina Body Sculpture 366cm

w 25 sklepach od 939,00 zł
Trampolina Body Sculpture 366cm
Clotrimazolum 1% krem 20 g

Clotrimazolum 1% krem 20 g

w 3 sklepach od 1,98 zł
Clotrimazolum 1% krem 20 g
Rower Kross Hexagon V2

Rower Kross Hexagon V2

w 3 sklepach od 739,00 zł
Rower Kross Hexagon V2

PC World z prezentem!

Tak, zamawiam 12 wydań PC World po 14,09 zł każde (zamiast 19,90 zł) od numeru 6/2012.
Dodatkowo program Panda Antyvirus Pro 2012,
chroniący aż 3 komputery, dostanę za darmo.

PC World 6/2012
Nowy numer PC World 6/2011
Razem: 169


  • Z darmową wysyłką
Wyrażam zgodę na wykorzystywanie mojego adresu email do celów marketingowych. rozwiń »

Pobierz bezpłatnego e-booka

20 lat polskiej sieci
Ebook 20 lat polskiej sieci to kompletna charakterystyka polskiego internetu (oraz polskiego internauty). Odpowiadamy na pytanie, jak wygląda nasz kraj na tle bliższych i dalszych europejskich sąsiadów pod względem popularyzacji szerokopasmowych łączy internetowych i rynku mobilnego. Wymieniamy również wady i zalety korzystania z bezpłatnych punktów dostępowych.
Jeśli chcesz otrzymać darmowego e-booka, wpisz swój adres e-mail. Wyślemy Ci go natychmiast!
Wyrażam zgodę na wykorzystywanie mojego adresu email do celów marketingowych. rozwiń »

  Kariera w IT 2012

Kariera w IT 2012
Uczelnie, rynek pracy, rekrutacja, pracodawcy, rozwój zawodowy - czyli wszystko, co chcielibyście wiedzieć o pracy specjalistów IT w Polsce. Piszemy jakie uczelnie wybrać, dlaczego warto studiować informatykę i kierunki techniczne, jak wygląda proces rekrutacji i jak dobrze wypaść przed pracodawcą, opisujemy pracodawców - firmy IT - i możliwe ścieżki kariery.
zobacz więcej »

  Rekomendacje

reklama
Warunki obsługi - Kontakt - Regulamin - Polityka prywatności
Serwis zgodny z ASME - Serwisy IDG - Reklama -
Prenumerata: PC World, Computerworld, Networld
© Copyright 2012 International Data Group Poland S.A.
04-204 Warszawa ul. Jordanowska 12
tel.(+4822)321-78-00   fax(+4822)321-78-88
Archiwum wiadomości: 2011 2010 2009 2008 2007 2006 2005 2004 2003 2002 2001