Архивы: по дате | по разделам | по авторам

Торговцы оружием

автор : Киви Берд 19.09.2007

Лидером подпольного рынка пакетов вредоносных программ стал пакет MPack, и вряд ли кого должно удивлять, что сработали его российские умельцы. Что-что, а уж урон-то наносить мы умеем...

За исключением нефти-газа и прочих природных ресурсов чуть ли не единственным российским товаром, пользующимся неизменно высоким спросом на мировом рынке, было и остается всевозможное оружие. Истребители, танки, ракеты, автоматы и уйма других вещей, единственная цель которых - нанесение максимального урона противнику. Почему так получилось именно с оружием, наверняка никто не скажет - скорее всего противников у нас во все времена было много, так что приходилось крутиться.

Вот и теперь, когда на мировом - пока, правда, исключительно подпольном - рынке оружия появился сравнительно новый вид бизнеса под названием Malware Toolkits, или "пакеты вредоносных программ", а одним из самых мощных и востребованных товаров в этом секторе стал пакет MPack, вряд ли кого должно удивлять, что сработали его российские умельцы. Что-что, а уж урон-то наносить мы умеем...

В пакетах вредоносных программ вроде бы нет ничего нового. Всевозможные программные конструкторы для самостоятельного изготовления вирусов, червей, руткитов и прочей нечисти в сетевом андеграунде начали появляться много лет назад и совершенно задаром. А давно устоявшийся термин "script kiddie" подразумевает тех "малышей", которые хоть и способны гадить окружающим с помощью написанных другими вредоносных скриптов, но, в сущности, понятия не имеют, как именно это работает.

Что же действительно нового принес с собой рынок Malware-пакетов? Ориентацию продукта не на всякую там околохакерскую шпану и мелкое сетевое хулиганство, а на серьезные криминальные структуры и подобающие им операции. Соответственно и рыночная цена того же Mpack измеряется суммами от 700 до 1000 долларов. А сопровождающая товар бизнес-модель включает в себя едва ли не все лучшие черты зрелого софтверного рынка - вроде регулярных, почти ежемесячных обновлений пакета новейшими средствами атак или долгосрочной сервисной поддержки.

В сентябре, если верить создателям Mpack, исполнился ровно год с того момента, как их первый комплект инструментов "для сугубо внутренних тестирований" превратился в коммерческий продукт. Ориентированный поначалу на довольно узкий русскоязычный рынок, но быстро набравший международную популярность и к июлю нынешнего года прогремевший едва ли не во всех средствах массовой информации из-за череды заражений серверов, оказывавших хост-услуги тысячам коммерческих сайтов, особенно в Италии и Индии. Как считают создатели Mpack, главную роль в раскрутке их изделия сыграли антивирусные компании, пытаясь объяснить клиентам, почему не срабатывают хваленые средства защиты. Анализ зараженных сайтов, а затем и поразившего их инструментария MPack показал, что против всякого браузера, зашедшего на инфицированный сайт, использовались новейшие методы атак, эксплуатирующие не менее дюжины из самых свежих уязвимостей, выявленных за последнее время в популярном ПО.

С одной стороны, известность товара, конечно, приносит гораздо большие прибыли продавцу, но с другой - становится все более очевидна криминальная суть изготовленного оружия, а это для его создателей совсем нежелательно - ибо уголовно наказуемо. По этой причине разработчики и Mpack, и других "инструментальных наборов" аналогичной направленности, вроде Shark 2, Nuclear, WebAttacker или IcePack, стараются всячески дистанцироваться от того, с какой целью применяют эти инструменты их покупатели. К пакетам непременно цепляется уведомление-дисклэймер, снимающее всякую ответственность с продавца, который распространяет продукт "исключительно в образовательных целях", и возлагающего всю ответственность за преступное использование на покупателя. Выглядит это, спору нет, цинично, но разве не то же самое делают и остальные изготовители-продавцы оружия?

Как бы то ни было, бизнес на пакетах вредоносных программ бурно развивается, а его анализом всерьез занялись эксперты по экономике и защите информации. Исследования показывают, что программисты обычно работают на брокеров-посредников; эти брокеры продают malware-продукты мелким криминальным структурам, а те, в свою очередь, делают бизнес с крупными преступниками. Хакеры, смыслящие в ИТ, всячески стараются не пачкать руки откровенным криминалом, за который можно легко угодить в тюрьму. Поэтому другие группы, далекие от программирования, создают сети и ИТ-компании, которые вовлечены в легальный или полулегальный бизнес, так или иначе прибегающий к malware-инструментарию.

На недавней конференции Defcon в Лас-Вегасе обзорный доклад об "Индустрии коммерческого вредоносного ПО" сделал известный новозеландский хакер и криптограф Питер Гутманн (Peter Gutmann) из Университета Окленда, имеющий давние и тесные связи с сетевым андеграундом. По сведениям Гутмана, ныне обычным делом является бизнес, когда одна фирма по заказу другой фирмы заражает шпионскими (spyware) или рекламными (adware) программами доступные ей в Интернете компьютеры всего лишь по 30 центов за штуку. Другие платные услуги практически один-в-один могут копировать услуги обычных сервис-провайдеров - вроде долгосрочной аренды или разового доступа к сетям компьютеров, уже зараженных вредоносным ПО. В качестве примеров Гутман приводит опять-таки российские реалии, где одна из криминальных групп сдавала в аренду свою раскрученную и зараженную троянцем сеть сайтов - по 4 доллара за тысячу посетителей.

Дабы скрасить столь невеселую историю, процитируем слова человека, называющего себя DCT и выступающего в Сети от имени создателей самого известного malware-пакета: "Я бы посоветовал вам использовать браузер Opera с отключенными скриптами и плагинами - чтобы однажды и вас не поймал MPack".

- Из журнала "Компьютерра"