В Германии действует проект по отслеживанию "хакерских сетей"

Создатель и оператор немецкого проекта German Honeynet Project Торстен Хольц опубликовал первые результаты работы проекта "Знай врага в лицо: отслеживание бот-сетей" (Know Your Enemy: Tracking Botnets).

Под "бот-сетями" или "зомби-сетями" подразумеваются "сети", состоящие из "компьютеров-зомби", заражённых (в результате вирусной атаки или прямого вторжения хакера) т.н. "ботами", зловредными программами, которыми хакер может управлять удалённо, например, с помощью IRC-чата.

Основой German Honeynet Project является сеть из, казалось бы, минимально защищённых компьютеров-ловушек (honeypots, оттуда и название honeynet), которые подвергаются заражениям со стороны хакеров, а потом регистрируют всю деятельность ботов. С помощью пожертвованных компьютеров Хольц и его коллеги отслеживают деятельность хакеров - владельцев "бот-сетей".

Фальшивые "зомби-компьютеры" Хольца позволили ему наблюдать работу более чем сотни различных бот-сетей, в некоторые из которых входило до 50 тысяч заражённых компьютеров (настоящих "зомби", владельцы которых, вероятно, даже и не подозревали о том, что они заражены).

Обнаружилось и несколько довольно интересных обстоятельств.

Во-первых, выявлено наличие нескольких малых бот-сетей, находящихся под контролем одних и тех же лиц (Хольц предполагает, что это попытка сделать бот-сети менее уязвимыми, распределяя контроль над ними на несколько серверов).

Во-вторых, как выяснилось, операторы бот-сетей активно и воюют, и торгуют друг с другом, причём в качестве товара выступают целые сети.

Ну, и в-третьих, оказалось, что далеко не все эти "хакеры" обладают высоким уровнем технической грамотности, иначе бы они не задавали друг другу вопросов на тему: "А как мне откомпилировать то-то и то-то".

Бот-сети - давняя головная боль и провайдеров, и пользователей разного ранга. С помощью "зомбированных" компьютеров хакеры устраивают распределённые DoS-атаки; заражённые компьютеры используются в качестве серверов для рассылок спама и других преступлений. Отыскать операторов сетей бывает довольно трудно, но информация, которую собирает German Honeynet Project, очевидно, будет крайне полезна для заинтересованных лиц и организаций, в том числе правоохранительных органов.

Как пишет New Scientist, ранее провайдеры пытались управиться с бот-сетями, производя реверсный инжиниринг хакерских ботов, чтобы выудить из них логины и пароли, а затем, понятное дело, перекрывать кислород владельцам бот-сетей.

Однако, во-первых, реверсный инжиниринг занимает много времени, а во-вторых, хакеры быстро нашли средства борьбы с этой "напастью": теперь всё чаще встречаются боты, которые моментально самоуничтожаются, если их пытаются взломать.

Хольц использует и другой подход: в бот-сеть подсаживается фальшивый бот ("drone"), очень похожий на оригинальный, но записывающий в отдельный файл все команды, которые ему передаёт оператор бот-сети. В другой файл записывается вся остальная информация.

"Дроны" не участвуют в спам- или DoS-атаках, поскольку запрограммированы на то, чтобы игнорировать эти программы. Что, впрочем, иногда вызывает у хакеров подозрения. Несколько раз "дроны" Хольца обнаруживали и перекрывали доступ в хакерские чаты. Один из хакеров и вовсе настолько осерчал, что попытался организовать против German Honeynet Project DoS-атаку.

Тогда Хольц прибегнул к тем же средствам, которые спамеры используют, чтобы заметать следы: команды "дронам" теперь передаются через удалённые серверы, так что их истинный источник отследить не удаётся.