Архивы: по дате | по разделам | по авторам

Пьяный стиль

АрхивКомментарий дня
автор : Евгений Золотов   24.06.2003

Инициатор таинственного всплеска сетевой активности, впервые диагностированного ещё в середине мая, наконец, обнаружен. Однако некоторые эксперты полагают, что сегодняшняя находка - лишь обманка, подброшенная злоумышленниками для отвода глаз. И Сеть - на пороге новой глобальной эпидемии.

За последний месяц Сеть оказалась втянута в самую настоящую детективную историю - а вместе с Сетью и большинство её пользователей. Всё началось 16-го мая, когда экспертами по компьютерной безопасности был впервые зарегистрирован таинственный всплеск сетевой активности в виде кажущихся случайными обращений к разрозненным Интернет-узлам. Обращения эти, поступавшие с совершенно случайных адресов, регистрировались по всему миру - и увязать их воедино позволил лишь тот факт, что все они выглядели однотипно: длина поступавшего из ниоткуда пакета составляла 55808 байт. Номер порта, на который приходил пакет, был случайным, равно как и обратные IP- и даже аппаратный MAC-адрес (уникальный для каждого сетевого устройства) - причём последние два часто не принадлежали ни одной физически существующей машине. Ничего сверх этого выяснить не удалось. Меж тем, волна сетевых обращений нарастала - и на прошлой неделе исследователями из компании Internet Security Systems был зафиксирован её пик: три тысячи пакетов за один час, поступивших на сравнительно небольшой участок пространства Сети.

К середине июня поисками таинственного "червя" занимались уже не только частные компании, но и государственные организации в нескольких странах мира (в частности, в США и Британии). Предположить, что непонятная сетевая активность есть результат эпидемии неизвестного вируса, позволило обнаружение в присылаемых пакетах строчки "day 0": "нулевым днём" на жаргоне компьютерных секьюрити называют сетевую атаку с использованием только что открытой уязвимости. Ещё не пойманный вирус получил прозвище 55808 Trojan. Впрочем, на деле всё оказалось иначе: 19-го июня наш герой, наконец, был обнаружен и официально наречён именем Stumbler.

Stumbler (в имени которого отражён принцип его распространения) оказался штукой очень хитрой. Это т.н. распределённый сетевой сканер, обнаруженный пока только на Linux-системах (хоть эксперты и говорят о возможности лёгкого его переноса на другие UNIX'ы и Microsoft Windows), он лишён каких-либо средств самостоятельного распространения. Автор Stumbler должен установить его на чужую машину самостоятельно, после чего, спрятавшийся в каталоге временных файлов /tmp, злодей принимается за работу. Единственная его задача - сканирование других компьютеров, подключенных к Интернет, на предмет обнаружения открытых портов. Делается это чрезвычайно хитрым способом: каждая копия Stumbler рассылает по случайным адресам множество запросов, требующих ответа. Однако, поскольку обратный адрес также случаен, ответы чаще всего уходят в никуда. Изюминка в том, что иногда, вместо случайного адреса, Stumbler подставляет в качестве обратного адрес, с большой долей вероятности принадлежащий компьютеру, на котором работает другая копия сканера. Каждая копия Stumbler слушает Сеть и собирает все ответы на запросы своих коллег. Собранная информация раз в сутки переправляется на центральный узел с адресом 12.108.65.76 (ещё несколько дней назад он принадлежал американскому Интернет-кафе). Впрочем, этот адрес при определённых условиях также может изменяться - так что если один центральный узел прикроют, может быть задействован другой. Предварительный анализ кода сканера показал также, что копия программы пытается самоуничтожиться в случае потери связи с Сетью.

Теперь, когда угроза ясна, кажется, можно бы и расслабиться. Но, к сожалению, похоже, что всё это - лишь прелюдия к основному действу, которым может стать беспрецедентная по масштабам атака на Интернет в целом или отдельные его части. Дело в том, что код Stumbler дизассемблирован не полностью и мнения экспертов по поводу того, что представляет из себя эта программа, сильно разошлись. Одни считают Stumbler лишь скромным экспериментом, другие - вирусом, которым его авторы заразили (используя некие вспомогательные средства - поскольку сам Stumbler реплицироваться не в состоянии) уже свыше двух сотен тысяч машин, третьи же придерживаются самого страшного мнения: нынешняя находка - всего лишь обманка, изготовленная для отвода глаз от настоящего "червя". Это точка зрения экспертов из Intrusec, считающих, что найденный Stumbler не в состоянии генерировать тот объём сетевого трафика, что регистрировался на протяжении последнего месяца. Потому они предлагают называть его 55808 Trojan Variant A и продолжить расследование. Свежие находки обнародуются на официальном сайте компании. Кто прав, кто виноват - покажет время, но, согласитесь, ничего подобного ещё не было. Можно ли предупредить возникновение вирусной эпидемии, не зная, как именно будет действовать возбудитель? Подключайтесь к дискуссии, обсудим!

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.