Rove Digital – kas lõplikult läinud?

Tartus registreeritud Rove Digital OÜ loodi 2002. aastal, põhikapitaliks 10 000 000 EEK-i. Firma tegevusalaks on tarkvaraarendus, omanikuks  Vladimir TÅ¡aÅ¡tÅ¡in. Äripäev kuulutas Rove Digitali 2007. aastal Eesti edukaimaks IT-firmaks.

Kuid kahjuks on Rove Digitali sära aastate jooksul inetumaks muutunud, päevavalgele on hulpinud palju taunitavat ja hämarat. Vladimir TÅ¡aÅ¡tÅ¡in on Eestis süüdi mõistetud ebaseaduslikus äris, dokumentide võltsimistes, pangapettustes ja arvutikelmustes. Loe edasi: Rove Digital – kas lõplikult läinud?

Pushdo/Cutwail ja Bobax/Kraken botnetvõrgustikud

Praeguseks on Internetist maha võetud botnetvõrgustikud Srizbi ja Rustock. Mõlemad spämmivad botnetid kuulusid USA veebihostingufirma McColo võrku. Internetis on aktiivsed veel üksikud mahukad botnetvõrgustikud – Pushdo/Cutwail (nt. Troj/Pushdo-Gen/, Troj/Exchan-Gen jt) ja Bobax/Kraken (nt. W32/Bobax jt).

Marshal TRACE teenuse analüüsidest võib järeldada, et endiseid Srizbi ja Rustocki botnette asendab nüüd Pushdo. Viimane klassifitseerub allalaadivaks troojalaseks. Näiteks levib see arvutitroojalane Windowsi operatsioonisüsteemi kasutavates arvutites kas e-posti (nt. e-kaardid) teel või nakatutakse pahatahtlikke kodulehekülgi külastades.

Cutwail (nt. Win32/Cutwail) on aga troojalane, mis nakatunud Windowsiga arvutis käivitab spämmiboti. Arvuti ise võtab perioodiliselt ühendust Pushdo/Cutwail botneti kontrollserveritega. Cutwail-botnetis on 125 000 arvutit, mis suudavad päevas väljastada kuni 16 miljardit ühikut spämmi.

Pushdo/Cutwail botneti tsentraalhaldus on tarkvaraliselt töökindel ja arukalt modifitseeritud.

Pushdo troojalasega nakatatud arvutist saadetakse Pushdo kontrollserverile nakatatud arvuti andmed: Internet Exploreri versioon, IP aadress, kasutaja profiiliõigused, arvuti kõvaketta seerianumber, failisüsteemi tüüp (NTFS, FAT32), Pushdo troojalase enda käivituste arv ja Windowsi operatsioonisüsteemi versioon (Windows98/Windows2000/WindowsXP/WindowsVista).

Pushdo/Cutwail botneti kontrollservereid saab hallata läbi veebipõhise administratiivliidese ning sisestada sealtkaudu ka käske: ‘STAT’ (serveri staatus), ‘TRCK’ (statistikalogi dump), ‘CARG’ (pahavara andmebaasi uuendus),  ‘FLTR’ (whitelist/blacklist filtri andmebaasi uuendus), ‘FINA’ (sessiooni lõpetamine).

Pushdo/Cutwail botneti kontrollserverid kasutavad ka GeoIP geolokatsiooni andmebaase, et kaardistada nakatatud arvutite paiknemist asukohamaade kaupa. Selline funktsioon annab näiteks botneti haldajale võimaluse teostada pahavara- ja spämmi rünnakuid konkreetsete riikide ning mandrite piires. Secureworks’i andmetel on Pushdo troojalase tundmatu looja oma programmeerimise algkoodis ja -käsustikus rohkem “kodus” Unixi süsteemis kui Windowsi platvormil. Pushdo kohta võib detailsemalt lugeda siit.

Bobax/Kraken botneti pahavara aga leiab oma tee Windows arvutikasutajani läbi JPEG ja PNG pildiformaatide. Algselt paistab selline fotofail Internetis või e-postkastis täiesti tavalisena, kuid tegelikult on selle failinimes sees varjatud laiend (nt. .exe jt), mis käivitabki arvutis pahavara.

Nakatatud arvutis toimub andmevahetus Bobax/Kraken botnetiga läbi tcp pordi 447. Paljud ISP-d, asutused ja firmad blokeerivad oma tulemüürides ära võrguliikluse tcp pordile 447. Võrguadministraatoritel on tavaks ütelda, et 447 tcp pordilt ei liigu andmete näol arvutikasutajateni mitte midagi “head” ega “tervislikku”.

Bobax/Krakeni spämmibotnetti kuulub hinnanguliselt üle 400 000 nakatunud arvuti (zombi), mis suudavad päevas välja saata 9 miljardit ühikut spämmi. Krakeni botneti kohta saab põhjalikumalt lugeda siit.

Surfame oma arvutitega Internetis ja laeme alla piiramatus koguses tundmatut tarkvara. Kui me seda kõike tehes ei kasuta ettevaatusabinõusid, näiteks korralikult paigatud operatsioonisüsteemi ja viirusetõrjet, siis  varem või hiljem komistame Internetis pahavara otsa. Mis omakorda võib meid teha botneti liikmeks.

Kas sina oleksid nõus, et võhivõõras pätt sinu isiklikku arvutit kasutades tasuta sellega raha teenib? 🙂

McColo-Srizbi spämmiva botneti tagasitulek

Ülisuur McColo spämmibotnet, mille arvele langes parimatel hetkedel 50-75% ülemaailmsest spämmihulgast ja mis suleti juba kaks nädalat tagasi, tõusis üleeile varjusurmast.

FireEye Inc andmetel võtsid pahavaraga (Srizbi Trojan: Troj/RKAgen-A, Srizbi Rootkit:W32/Agent.EA jt) nakatunud arvutid ühendust Eestis asuvate Srizbi botneti kontrollserveritega, et teha nakatatud Windowsi-põhistes arvutites pahavaralisi versiooniuuendusi. Pahavara versiooniuuendus oli nakatatud arvutites eluliselt tähtis just sellepärast, et Srizbi botneti uued omanikud saaksid üle võtta “surnud” McColo-Srizbi botneti kontrollserverite tsentraalhalduse.

Huvitav ja (ebameeldivalt) üllatav on antud juhtumi puhul see, et paarisaja Srizbi botneti uute domeeninimede hulgas olid ka Eestis asuvate kontrollserverite IP aadressid.

Millised olid Eestis asuvate Srizbi botneti kontrollserverite IP aadressid ja domeeninimed?
FireEye Inc. andmetel olid need järgmised:

Domeeni nimi: prpoqpsy.com
IP aadress: 92.62.100.4

Domeeni nimi: gffsfpey.com
IP aadress: 92.62.100.9

Domeeni nimi: oryitugf.com
IP aadress: 92.62.100.12

Domeeni nimi: ypouaypu.com
IP aadress: 92.62.100.13

Tänu Eesti asjaomaste institutsioonide operatiivsele tegutsemisele pole antud hetkel need IP aadressid enam Internetis pingitavad ega anna nimelahendusi.

Tasub märkida, et kõik ülalmainitud domeeninimed on registreeritud kellegi kodanik Ulugbek Asatopov`i nimele, kelle kontaktiks on  Türgis Ankaras asuv aadress ja e-postiks mail.ru konto. Nende domeenide nimeserverid (ns.tsr.ru, ns4.tsr.ru) aga asuvad Venemaal  ning kuuluvad omakorda Moskvas asuvale firmale STC TeleCom Service JSC (TeleCom Service).

Kuid ülalmainitud domeenide IP aadressid seevastu kuuluvad hoopis Eestis asuvale infotehnoloogiafirmale Starline Web Services, mis pakub e-äri, veebidisaini ja virtuaalserverite teenuseid.

Nüüdsel it-ajastul võiksime õigustatult enda käest küsida, kuidas on ikka võimalik, et Internetist mahavõetud ülimassiivne rahvusvahelise haardega  botnet suudetakse lühikese ajaga uuesti püsti ajada ning seda läbi sadade tuhandete nakatatud arvutite tarkvaraliselt uuesti värskendada, taastades seeläbi uue kontrollserverite keskhalduse?

Istume siin kodu- ja tööarvutite taga ning saame oma e-postkasti jätkuvalt suurtes kogustes spämmi. Ja juhul kui me seda spämmi otseselt ei saa, siis ikkagi kurdame aeglase internetiühenduse üle. Mis tuleneb sellest, et seesama “pikendustega” spämm koormab ja tekitab pudelikaelu meie arvutivõrkudes, ruuterites, tulemüürides ja spämmifiltrites.

Internetis on liikvel uudiseid, mis väidavad et Eestis asuvate botnet kontrollserveritega võttis ühendust ligikaudu 100 000 nakatunud arvutit. Srizbi botneti kuulub üle 300 000 nakatunud arvuti. Paraku ei näita nakatunud arvutite statistika internetis mitte kahanemistendentsi.

Botipesa McColo – järelhüüe

Vähem kui nädal tagasi lülitati Internetist välja küberkriminaalide laiaulatuslik spämmi-, pahavara- ja botnetvõrgustik. Seda hoidis üleval USA-s paiknev veebihostingufirma McColo Corporation.

McColo`le on esitatud järgnevad raskekaalulised süüdistused: lastepornograafia levitamine, krediitkaardipettused (muuhulgas hostis Sinowali kontrollservereid), spämm (kõikvõimalikud pikendajad jms), pahavara (nt. webscannertools.com), anonüümsed proxy serverid (nt. proxy.fraudcrew.com) ja botnetvõrgustikud (nt. Rustock). Teadaolevalt asub Rustock botnetis üle 150 000 pahavaraga nakatunud arvuti.

McColo “teeneks” Internetis oli ka see, et tema ülemaailmne spämmi tekitamise turuosa oli 50%. Mõnedki sõltumatud infoturbespetsialistid on oma uurimustes väitnud aga seda, et see ülemaailmne spämmi protsent küündis McColo puhul 75%-ni.

McColo Corporation’i hallatav aadressivahemik Internetis oli 208.66.192.0/22 ja 208.72.168.0/21. Nende kodulehekülg www.mccolo.com ja teised sealsed hostid on praegu maas ning ei vasta enam välismaailmale.

Kes on ja olid McColo taga olevad inimesed?

Internetifoorumitest võib lugeda, et firma McColo Corporation loojaks peetakse 19-aastast Moskva tudengit. Erinevates infoallikates on teda kutsutud nimedega Alexey, Nikolai ja Kolya . Hüüdnimedeks on tal “McColo”, “Kolya-McColo” ja “Alexey Bladewalker”. Eriti tabav on minu meelest viimane hüüdnimi “Alexey Bladewalker”, sest McColo firma ise kõndis ju aastaid noateral 🙂

McColo vaimne isa “Kolya-McColo” ise hukkus traagiliselt 2007 aastal autoavariis Moskvas. Ellu jäi tollel korral BMW autoroolis istuv Kolya-McColo sõber, küberkriminaal hüüdnimedega “Jax”, “Jux”, kes ise kuulus “kidala” (fraudster) põrandaalusesse kommuuni.

Kas me nüüd tõesti saime “McColo Corporation” puhul lahti lastepornost, krediitkaardipettustest, spämmist, pahavarast ja botnetvõrgustikest?

Vaevalt küll, sest on juba teada tõsiasi, et “McColo” hüljatud lapse “Rustock” botnetvõrgu on juba jõudnud lapsendada Moskvas asuv Rial Com JSC [62.176.17.200]. Võib arvata, et lühikese aja jooksul jagatakse ja ostetakse Internetis küberpättide poolt üles kõik ülejäänud McColo “hüljatud” botnetid: Asprox, Warezov, Pushdo/Cutwail, Mega-D/Ozdock ja Srizbi. Näiteks Srizbi botneti kuulub rohkem kui 300 000 pahavaraga nakatunud arvutit.

McColo Corporation jäi oma pahategudega lõplikult vahele tänu Security Fix’i ja Brian Krebs’i ennastsalgavale uurimustööle.

McColo Corporation-i pahalaste põhjalikum ja detailsem *.pdf raport asub siin.