Ievadam – apnika lasīt par jauniem gadždetiem. Jāuzlabo LV blogu kultūra reportējot arī par citiem jaunumiem.
IEEE izdotā žurnāla “Computer” februāra numurā ir ļoti interesants raksts par Storm Worm. IEEE bibliotēkas lasītājiem šis raksts ir pieejams arī tiešsaistē: “A Storm (Worm) Is Brewing”.
Īsumā – kopš 2006. gada rudens IT drošības pasaule ir iepazinusi jaunu ienaidnieku, kurš ticis pie vārda Storm, pirmo reizi īsti par sevi liekot manīt 2007. gada 19. janvārī, kad dienas laikā tika izsūtīts apmēram 20 reižu lielāks surogātpasta daudzums nekā citās dienās. Citi šī ienaidnieka nosaukumi ir Nuwar, Peacomm, Zhelatin. Pēdējais nosaukums vislabāk parāda šī kiber-ienaidnieka dabu, jo tieši mainīguma dēļ IT drošības kompānijām ir tik grūti izstrādāt pretlīdzekļus Storm-am.
Storm ir milzīgs attālināti kontrolējamu (“zombiju“) datoru tīkls, ar kura palīdzību tiek veikti kibernoziegumi, vienlaicīgi arī inficējot jaunus datorus un tos piesaistot storm tīklam. Drošības ekspertiem ir izdevies noteikt, ka tīkla darbības kontrolei tiek izmantoti austrumeiropā (tātad – arī Latvijā?) un Krievijā esošas IP adreses. Krievijas valdība atsakās sadarboties ar ASV spēkiem, lai likvidētu Storm tīklu.
Ir izteikti minējumi, ka 2007. gada pavasara DDoS uzbrukumi Igaunijas serveriem tikuši veikti no Storm tīkla. Tāpat Storm tiek pielietots naudas pelnīšanai, izsūtot surogātpastu, kas reklamē organizācijas, kuru akcijas pieder Storm īpašniekiem. Joe Stewart, SecureWorks pētnieks norāda, ka pastāv aizdomas, ka kāda Kanādas kompānija savulaik izīrējusi daļu tīkla resursu, lai izsūtītu surogātpastu.
Daži fakti par Storm:
- Izplatās, izmantojot sociālās inženierijas ceļus. Izsūta e-pasta vēstules, ar tēmām “Milzīga vētra Eiropā”, “Nogalinājis 11 gados, 21 gada vecumā atkal brīvs un dodas nogalināt”, “Britu genocīds pret musulmaņiem”, “Krievu raķete notriekusi ASV satelītu”. Tāpat tiek izsūtītas e-pasta vēstules, kas satur saiti uz it kā Youtube esošām filmām. Vēl vienu klikšķi tālāk lietotāja neprasmīgi aizsargātais dators tiek inficēts ar Trojas zirgu.
- Pēc datora inficēšanas sistēma var uzstādīt klaviatūras signālu pārķeršanas draiverus un šo informāciju pārsūtīt tīkla īpašniekiem. Protams, tiek izveidota “lūka”, caur kuru Storm īpašnieki var nodot komandas datoram
- Programmatūra slēpjas. Tā instalē rootkit-us, lai izpildāmie faili nebūtu redzami datora lietotājam, tā modificē API, kas parāda aktīvos procesus, tā dzēš rīkus, kas ļautu identificēt Storm klātesamību.
- Inficētie datori uzvedas gluži normāli un ir lietojami ikdienas darbam.
- Decentralizēts – savstarpējai saziņai un izplatīšanai izmanto P2P tīklus, izmantojot savus protokolus un arī standarta rīkus kā ICQ un IRC
- Izmanto t.s. fast flux principu, lai paslēptu web vietnes, kas satur inficējošo kodu. DNS ieraksti tiek mainīti ik pa dažām minūtēm, kas sevišķi apgrūtina izsekošanu.
- Izplatīšanai vienlaicīgi izmanto tikai nelielu daļu no tīklā esošajiem datoriem, bet šī daļa regulāri mainās
- Šifrē visu saziņu starp tīklā esošajiem datoriem, izmantojot vismaz 40 bitu atslēgas (simetriskās kriptosistēmās tas ir pietiekami daudz)
- Izplatīšanās mehānisms tiek regulāri mainīts, tai skaitā mainot arī modificējot izpildāmo kodu līdz pat 10 reizēm stundā