Подреддит /r/IAmA — это место, где любой человек, представляющий хоть какой-то интерес для обычного реддитора, может провести сессию вопросов и ответов. Как правило, это смесь актеров, деятелей культуры и видных персон, расписание IAmA (I am a) которых известно заранее, и необычных людей, выделяющихся своими профессиональными навыками или пережитым жизненным опытом. Два месяца назад на этом ресурсе появился человек, представившийся как разработчик вредоносного программного обеспечения и оператор ботнета.
Заниматься незаконной деятельностью он начал после Operation Payback, акции движения Anonymous, имевшей место в сентябре 2010 года. Обычный студент инженерной специальности использовал ставший доступным публике код вируса ZeuS, подправил баги, добавил несколько новых функций, руткит и майнинг монет Bitcoin за счёт видеоускорителей, который осуществляется лишь при простое машины на таком приоритете, что даже видео качества HD проигрывается без подтормаживаний, а вентиляторы не развивают высоких оборотов. Владелец ботнета не использует его для DDoS — это стоит дешевле, чем использование мощностей видеоускорителя для получения бит-монет.
Реддитор: […] Если так выгодно устанавливать майнеры биткойнов на машины жертв, почему ты не делаешь это больше и больше?
Владелец ботнета: По моей оценке, около 30% всей вычислительной мощности майнинга идет из ботнетов, это объем того, что генерируется в неизвестных пулах. Думаю, что никто не начинает использовать майнинг больше и больше по следующим причинам: 1) Они не хотят падения экономики Bitcoin. Если у ботнетов будет 90% вычислительной мощности майнинга, монеты обесценятся. (Маловероятно, киберпреступники не настолько умны, чтобы предвидеть подобное.) 2) Готовых программ для запуска майнинга нет, большинство операторов ботнетов никогда не написали ни строчки кода в своей жизни (наиболее вероятно). […] Если бы у кого-то была мощность в 50 терахэшей в секунду, инфляция была бы ужасной. Обменивать 800 тысяч биткойнов в месяц на Mt Gox по хорошей цене просто так не удастся.
Непрофессионализм в стане кибер-злоумышленников поражает: оператор ботнета также сообщил, что большинство из них не умеют использовать Bitcoin для финансовых операций, ещё не закончили школу и не могут обменять средства Ukash и Paysafecard на Liberty Reserve. Операторы ботнетов глупы и не следят за оставляемыми следами, что сильно помогает в их поимке.
В сутки заражается 500—1000 машин, в выходные ещё больше. Хакер подумывает об обычной покупке установок: на азиатских ПК хорошие графические ускорители. В его версии управление производится через децентрализованную сеть TOR, а зараженные машины работают как релеи. Каждый из клиентов регулярно получает свои собственные обновления, весь полиморфизм идет на стороне оператора, и обнаружение активности программы затрудено. Полученные данные банковских карт хакер сбывает третьим лицам. В конечном итоге за счет биткойнов и проданных данных получается небольшой дополнительный заработок, который не рассматривается как постоянная работа: наибольшая выплата составила около 1 тысячи долларов Liberty Reserve, но какая-то часть средств идет на оплату дорогих выделенных серверов.
Большая часть жертв — молодые (20—30 лет) жители США, они составляют около 30% от всех жертв. Почти у всех есть аккаунты на Facebook, которые хакер игнорирует ввиду их низкой ценности. Примерно пятая часть имеет хорошую видеокарту, но даже и не утруждает себя установкой драйверов к ним, и майнер не запустить. У 80% есть антивирус, у 5% установлен ложный, на деле являющийся программой, вычищающей сторонние зловреды и устанавливающей свой, — типичные жертвы порнографии.
Варез — основной источник появления новых ботов. Среди его зараженных машин оказались компьютеры Finance Canada, Федерального авиационного агенства США и 3 Windows-сервера.
А всё начиналось с того, что он лишь пытался обойти защиту антивирусов, но быстро понял, что они плохо определяют наличие вредоносной программы, и в ответах на вопросы даже заметил, что возможно, их создатели специально оставляют дыры в безопасности ради получения прибыли в будущем. Обход защиты продуктов «Лаборатории Касперского» смог выполнить программист с двухлетним стажем.
Сегодня уровень знаний киберпреступников очень сильно упал: достаточно базовых знаний Perl для создания кода, который не обнаружат антивирусы, а с ASM уже и буткит в кармане. Он не торопится заниматься установками на OS X: хотя её пользователи не столь умны, как это бывает с Linux-машинами, рынок слишком мал для уверенного роста. Сам оператор ботнета не покупает ничего в кредит, и едко замечает, что данные кредиток американцев, живущих взаймы, стоят 2 доллара США, а вот британцы «стоят» от 60. Он никогда не крал в обычной жизни, не наносил никому увечий и никогда не смог бы ударить человека первым. Говоря о своём отношении к Microsoft, хакер отозвался в хорошем тоне и похвалил компанию за доставку обновлений даже для нелегальных установок. Он рассказывал о известных в узких кругах хакерах, отдельные из которых на тот момент прохлаждались в тропиках в окружении дорогих автомобилей и сексуальных девушек.
В будущем хакер хочет работать в компьютерной индустрии и использовать полученный опыт, но, к сожалению, «оператор такого-то ботнета» — не лучшая рекомендация в резюме.