МРАК, или Торговцы оружием

(Сентябрь 2007)

За исключением нефти-газа и прочих природных ресурсов, чуть ли не единственным российским товаром, пользующимся неизменно высоким спросом на мировом рынке, было и остается всевозможное оружие. Истребители и танки, ракеты и автоматы, а также и много других тому подобных вещей, единственная цель которых — нанесение максимального вреда и урона противнику.

Почему так получилось именно с оружием — наверняка никто не скажет, но, скорее всего, противников у нас все время как-то очень много оказывается. Поэтому, типа, и приходится крутиться.

cybersecurity-skull

Вот и теперь, когда на мировом — пока что, правда, исключительно подпольном — рынке оружия появился сравнительно новый вид бизнеса под названием Malware Toolkits или «пакеты вредоносных программ», а одним из самых мощных и востребованных товаров в этом секторе стал пакет MPack, то вряд ли кого должно удивлять, что сработали его российские умельцы. Что-что, а уж урон-то наносить — это мы точно умеем…

С одной стороны в пакетах вредоносных программ вроде бы и нет ничего нового. Всевозможные программные конструкторы для самостоятельного изготовления вирусов, червей, руткитов и прочей нехорошей компьютерной заразы в сетевом андеграунде начали появляться много лет назад и совершенно задаром. А давно уже устоявшийся термин «script kiddie» подразумевает тех «малышей», которые хоть и способны разнообразно гадить окружающим с помощью написанных другими вредоносных скриптов, но в сущности понятия не имеют, как именно это работает.

Что же действительно нового принес с собой рынок Malware-пакетов, так это ориентацию продукта не на всякую там околохакерскую шпану и мелкое сетевое хулиганство, а на серьезные криминальные структуры и подобающие им операции. Поэтому здесь уже не шутки шутят, а оперируют вполне конкретными деньгами, так что рыночная цена того же пакета MPack измеряется суммами от 700 до 1000 долларов.

Причем сопровождающая товар бизнес-модель включает в себя едва ли не все лучшие черты зрелого софтверного рынка — вроде регулярных, почти ежемесячных обновлений пакета новейшими средствами атак, или долгосрочной сервисной поддержки.

В сентябре (2007), если верить создателям MPack, исполнился ровно год с того момента как их первоначальный пакет инструментов «для сугубо внутренних тестирований» превратился в коммерческий продукт. Ориентированный поначалу на довольно узкий русскоязычный рынок, но быстро набравший международную популярность и к июлю этого года прогремевший едва ли не во всех средствах массовой информации из-за череды массовых заражений серверов, оказывавших хост-услуги тысячам коммерческих веб-сайтов, особенно в Италии и Индии.

Как считают создатели MPack, основную роль по международной раскрутке их изделия сыграли антивирусные компании, пытаясь объяснить своим клиентам, почему не срабатывают хваленые средства защиты. Анализ зараженных веб-сайтов, а затем и поразившего их инструментария MPack показал, что против всякого браузера, зашедшего на инфицированный сайт, использовались новейшие методы атак, эксплуатирующие не менее 12 из самых свежих уязвимостей, выявленных за последнее время в популярном ПО.

С одной стороны, конечно, известность товара приносит заметно большие прибыли продавцу, но с другой стороны становится все  более очевидна криминальная суть изготовленного оружия, а это для его создателей совсем нежелательно — ибо уголовно наказуемо. По этой причине разработчики и MPack, и других «инструментальных наборов» аналогичной направленности, вроде Shark 2, Nuclear, WebAttacker или IcePack, стараются всячески дистанцироваться от того, с какой целью применяют данные инструменты их покупатели.

К продаваемым пакетам непременно цепляется уведомление-дисклэймер, отводящее всякую ответственность от продавца, распространяющего продукт «исключительно в образовательных целях» и возлагающего всю ответственность за преступное использование исключительно на покупателя. Выглядит это, спору нет, довольно цинично, но разве не в точности то же самое по сути делают и все остальные изготовители-продавцы оружия на рынке?

Как бы там ни было, бизнес на пакетах вредоносных программ ныне бурно развивается, а анализом его всерьез занялись эксперты по экономике и защите информации. Исследования показывают, что собственно программисты обычно работают на брокеров-посредников, эти брокеры продают malware-продукты в мелкие криминальные структуры, а те, в свою очередь, делают бизнес с крупными преступниками.

Реальные хакеры, смыслящие в ИТ, всячески стараются не пачкать руки откровенным криминалом, за который можно легко угодить в тюрьму. Поэтому другие группы, достаточно далекие от непосредственно программирования, создают сети и ИТ-компании, вовлеченные в легальный или полулегальный бизнес, так или иначе прибегающий к malware-инструментарию.

На недавней конференции Defcon в Лас-Вегасе содержательный обзорный доклад об «Индустрии коммерческого вредоносного ПО» [www.cs.auckland.ac.nz/~pgut001/pubs/malware_biz.pdf] сделал известный новозеландский хакер и криптограф Питер Гутманн (Peter Gutmann) из Университета Окленда, имеющий давние и тесные связи с сетевым андеграундом.

По имеющимся у Гутмана сведениям, ныне вполне обычным делом является бизнес, когда одна фирма-сеть по заказу другой фирмы заражает шпионскими (spyware) или рекламными (adware) программами все доступные ей в интернете компьютеры по цене 30 центов за штуку. Другие платные услуги практически один-в-один могут копировать услуги обычных сервис-провайдеров — вроде долгосрочной аренды или разового доступа к сетям компьютеров, уже зараженных вредоносным ПО.

В качестве реальных примеров Гутман приводит опять-таки российские реалии, где одна из криминальных групп сдавала в аренду свою раскрученную и зараженную троянцем сеть веб-сайтов — по цене 4 доллара за первую тысячу посетителей и 3,50 за тысячу при оптовой покупке числом свыше 10000.

Ну, а дабы внести хоть какой-то позитив в столь невеселую в целом историю, можно процитировать слова человека, именующего себя ником DCT и выступающего в сети от имени создателей самого известного malware-пакета:

«Я бы посоветовал вам использовать браузер Opera с отключенными скриптами и плагинами — чтобы однажды и вас не поймал MPack».

# # #