Botipesa McColo – järelhüüe

Vähem kui nädal tagasi lülitati Internetist välja küberkriminaalide laiaulatuslik spämmi-, pahavara- ja botnetvõrgustik. Seda hoidis üleval USA-s paiknev veebihostingufirma McColo Corporation.

McColo`le on esitatud järgnevad raskekaalulised süüdistused: lastepornograafia levitamine, krediitkaardipettused (muuhulgas hostis Sinowali kontrollservereid), spämm (kõikvõimalikud pikendajad jms), pahavara (nt. webscannertools.com), anonüümsed proxy serverid (nt. proxy.fraudcrew.com) ja botnetvõrgustikud (nt. Rustock). Teadaolevalt asub Rustock botnetis üle 150 000 pahavaraga nakatunud arvuti.

McColo “teeneks” Internetis oli ka see, et tema ülemaailmne spämmi tekitamise turuosa oli 50%. Mõnedki sõltumatud infoturbespetsialistid on oma uurimustes väitnud aga seda, et see ülemaailmne spämmi protsent küündis McColo puhul 75%-ni.

McColo Corporation’i hallatav aadressivahemik Internetis oli 208.66.192.0/22 ja 208.72.168.0/21. Nende kodulehekülg www.mccolo.com ja teised sealsed hostid on praegu maas ning ei vasta enam välismaailmale.

Kes on ja olid McColo taga olevad inimesed?

Internetifoorumitest võib lugeda, et firma McColo Corporation loojaks peetakse 19-aastast Moskva tudengit. Erinevates infoallikates on teda kutsutud nimedega Alexey, Nikolai ja Kolya . Hüüdnimedeks on tal “McColo”, “Kolya-McColo” ja “Alexey Bladewalker”. Eriti tabav on minu meelest viimane hüüdnimi “Alexey Bladewalker”, sest McColo firma ise kõndis ju aastaid noateral 🙂

McColo vaimne isa “Kolya-McColo” ise hukkus traagiliselt 2007 aastal autoavariis Moskvas. Ellu jäi tollel korral BMW autoroolis istuv Kolya-McColo sõber, küberkriminaal hüüdnimedega “Jax”, “Jux”, kes ise kuulus “kidala” (fraudster) põrandaalusesse kommuuni.

Kas me nüüd tõesti saime “McColo Corporation” puhul lahti lastepornost, krediitkaardipettustest, spämmist, pahavarast ja botnetvõrgustikest?

Vaevalt küll, sest on juba teada tõsiasi, et “McColo” hüljatud lapse “Rustock” botnetvõrgu on juba jõudnud lapsendada Moskvas asuv Rial Com JSC [62.176.17.200]. Võib arvata, et lühikese aja jooksul jagatakse ja ostetakse Internetis küberpättide poolt üles kõik ülejäänud McColo “hüljatud” botnetid: Asprox, Warezov, Pushdo/Cutwail, Mega-D/Ozdock ja Srizbi. Näiteks Srizbi botneti kuulub rohkem kui 300 000 pahavaraga nakatunud arvutit.

McColo Corporation jäi oma pahategudega lõplikult vahele tänu Security Fix’i ja Brian Krebs’i ennastsalgavale uurimustööle.

McColo Corporation-i pahalaste põhjalikum ja detailsem *.pdf raport asub siin.

MSN-i uss lollitab veebikaameraga

Täna oma MSNi sisse logides leidsin eest halva üllatuse. Taaskord oli üks mu sõpradest langenud MSNi uue ussi küüsi. Mulle pakuti klikkimiseks linki, mille peale püüdis parasiit mind seesuguse teatega lollitada:


Jällegi nõutakse, et installiksin “salakaameraga lindistatud video” mängimiseks Flash Playeri.
Video all olevale lingile klikkides tõmmatakse ja installitakse arvutisse tundmatut liiki pahavara, arvatavasti troojalane, mis muudab süsteemiseadeid ja tõmbab käima mõned lisaprotsessid.
Pildil on selgesti näha, et NoScript, mida Firefoxi lisana kasutan, on blokeerinud Java rakenduse – vähemalt iseenesest ta minu arvutisse ei pääse 🙂

Aga teie parem ärge niisuguseid linke klikkige, kui aga uudishimu kangesti vaevab, küsige enne sõbra käest üle, mida ta teile saatis.

Sinowal on varastanud tuhatkonna Eesti arvutikasutaja andmed

CERT Eesti on kokku löönud käesoleva aasta algusest Eestis levima hakanud Sinowali-nimelise troojalase põhjustatud kahju.

Eesti võrguturvajate hinnangul on Eestis umbes tuhatkond troojalase Sinowaliga nakatunud arvutit, mille kasutajate andmed on suure tõenäosusega jõudnud ka kurikaelteni.

CERT Eesti infoturbe ekspert Tarmo Randeli sõnul on Sinowal ohtlik pahalase märkamatu tegevuse tõttu. „Kerge on märgata varast, kes murrab lahti ukse ja lõhub aknaklaasi. Kui vargus toimub nii, et silmnähtavalt midagi ei muutu, on isegi varguse toimumise hetke raske tuvastada, rääkimata osalistest“.

Sinowal kogub nakatunud arvutitest näiteks kasutajate pangakontode ja paroolide andmeid ning saadab need arvutit kontrollivatele kurjategijatele. Ühtlasi talitab ta tavapärase troojalasena, avades kurjategijale vaba pääsu arvutisse.

Sissevaade röövlikoopasse

Pidžaamas oma arvutiekraani ees küürutades teenib “Frank” rohkem raha kui mõni osalise tööajaga narkodiiler. Frank ei pea isegi muretsema kinninabimise pärast ega isegi kodust lahkuma.

Pidevalt oma tegevuse jälgi internetis keeruliste serverisüsteemidega varjates on ta üks lüli globaalses küberkurjategijate jõgus. Koos riisuvad nad pahaaimamatutelt internetikasutajatelt miljardeid dollareid.
Selleks ei kasuta nad midagi muud kui kui tavalist internetti, tasuta tarkvara ja oma vaba aega.

Anonüümsust säilitades räägivad tema ja teised kogenud kurjamid, et pankade katsed krediitkaardivargustele kätt ette panna on mõttetud, arvestades kergust, millega nende klientide arvuteid saab nakatada.

Tänapäeva e-kaubanduse maailmas võid sa oma pangaandmed kaotada ka siis, kui külastad tavapäraseid ja enda arvust turvalisi lehekülgi. Häkkerid kasutavad tööriistu, mis automaatselt otsivad veebisaitide turvaauke. Kui selline lehekülg leitakse, võidakse selle andmebaasi kerge vaevada lisada paar rida pahatahtlikku koodi. Kui nüüd keegi kaaperdatud lehekülge külastab, suunatakse ta pahatahtliku koodi abil teisele leheküljele, mis sisaldab järjekordset pahavara. See aga nakatab arvuti troojalasega, mis avab pätile vaba ligipääsu ohvri arvutisse.
Lisaks mitmetele teistele vastikutele lisadele, näiteks botneti liikmeks olemisele, saadab pahavara iga kasutaja poolt tehtud klahvivajutuse oma peremehele. Kui need klahvivajutused juhtuvad sisaldama pangaparoole, võib asi väga kurvalt lõppeda.

“Sa kirjutad käsureale lihtsalt “.card” ning see näitab sulle kõikide krediitkaartide andmed, mida on nakatunud arvutis kasutatud”, rääkis Odin Evilzone.org häkkerite foorumis, kus paljud pahandusetegijad äritsevad.

Viirustõrjetarkvarad on küll pidevalt pahavaraga sõjatandril, et ka kõige uusimaid viiruseid tuvastada ja kasutajaid kaitsta, kuid ka kõige tihedamini uuenduvad viirusetõrjed ei suuda pakkuda piisavat kaitset värskemate viiruste vastu. Näiteks üks pahavaraliik, uss, levitab ennast vajadusel automaatselt spämmiga, MSNi kaudu ning ka p2p võrkudes, näiteks Lime Wire’s.

Loe edasi stuff.co.nz-st.

Pahavara maskeerib end turvapaikadeks

Kuna kasutajad on harjunud, et kord kuus laseb Microsoft välja Windowsi uuenduste paketi, kasutavad kurikaelad seda harjumust ära, et pahavara kübermaailma lennutada.

Paljud internetikasutajad on saanud oma postkasti teateid, mille saatja olla just kui Microsofti turvadirektor Steve Lipner. Spämm sisaldab ka ühte .exe faili, mis väidetavalt on “an experimental private version of an update for all Microsoft Windows OS users” ehk teisisõnu kõikidele Windows OS-i kasutajatele mõeldud ekperimentaalne uuenduste privaatversioon. Kasutajatel käsitakse see kiiruga installida, et kaitsta oma arvutit turvariskide vastu, ning ka jõudlusprobleemide puhul.
Kui kasutaja selle “uuenduse” installib, nakatub tema arvuti troojalasega. Microsoft kinnitab, et ei saada kunagi uuendusi laiali e-mailide abil.

Asus Eee lauaarvuteid müüdi koos viirusega

Asus hoiatab, et nende populaarse Eee PC lauaversioon Asus Eee Box tarniti Jaapanisse koos viirusega (Vaata ka teate ingliskeelset kokkuvõtet).

Madala hinnaga Asus Eee Box, mis on mõeldud piltide vaatamiseks, e-mailide saatmiseks, internetis käimiseks ja muudeks igapäevasteks ülesanneteks, tuli Jaapanis müügile eelmisel nädalalal. Asus aga hoiatas kasutajaid, et selle D-ketttal avastati viirus “recycled.exe”. Kohe pärast ketta poole pöördumist hakkab viirus ennast kopeerima C-kettale ja mujale, näiteks irdmälu ja teised USB kaudu ühilduvad seadmed.

Asus pole siiamaani täpsemalt teatanud, kuidas Eee Box’id nakatusid ning kui laialdaselt nakatunud arvuteid müüa jõuti. Näiteks McDonald’s süüdistas kunagi auhinnaks jagatud mp3 mängijate viirusega nakatamises oma Hongkongi allhankijat.

Eestis ei ole Eee Box’id teadaolevalt veel eriti levinud.