Neutralizuotas „Ramnit“ botnetas su 1300 lietuviškais IP adresais
Lietuvos Respublikos ryšių reguliavimo tarnybos nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys (CERT-LT) informuoja, kad neseniai neutralizuotame „Ramnit“ botnete buvo nustatyta virš 1300 lietuviškų IP adresų. CERT-LT apie IP adresus, įtrauktus į šį botnetą, informavo interneto paslaugų teikėjus.
„Ramnit“ šalinimo įrankis ir įrankio veikimo detalus aprašymas prieinami adresu https://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99
„Ramnit“ aprašymas:
Panašiai kaip žinomas „GameOver Zeus“, „Ramnit“ yra didžiulis užvaldytų kompiuterių tinklas (angl. botnet). Tinklą valdantys asmenys naudoją jį siunčiant brukalą (reklaminį šlamštą arba laiškus su paties „Ramnit“ egzemplioriais). Taip pat botnetas naudojamas rengiant paskirstytąsias paslaugos trikdymo atakas prieš tam tikras interneto svetaines ar informacines sistemas. „Ramnit“ buvo užvaldęs 3,2 milijono kompiuterių visame pasaulyje.
„Ramnit“ kenkimo kodas buvo platinamas per brukalą, klastojimo žinutes (angl. phishing), socialinius tinklus, atvirai prienamas „FTP“ tarnybines stotis. Pagrindinis jo taikinys – žmonės, naudojantys „Windows“ šeimos operacines sistemas. Netyčia įdiegus „Ramnit“ egzempliorių, jis atsiųsdavo į kompiuterį kitą savo kodo dalį.
Nors „Ramnit“ botnetas išardytas (sunaikinti jo kontroleriai), į buvusią jo veiklą įtraukti kompiuteriai vis dar lieka apkrėsti kenksmingu kodu, kuris gali sukelti žalos. CERT-LT nustatė apie 1340 lietuviškų IP adresų, buvusių sąryšyje su „Ramnit“. Interneto paslaugų teikėjai, kurių tinkluose veikia šie adresai, buvo informuoti su rekomendacijomis dėl galimų veiksmų situacijai gerinti.
Antivirusinė PĮ gamintoja „Symantec“ teigia, kad botnetas veikė daugiau nei 4 metus. Pasak gamintojos atstovų, „Ramnit“ yra ypatingas kibernusikaltimų įrankis, kuris susideda iš 6 modulių. Jie suteikia nusikaltėliams kelis būdus užvaldyti aukos kompiuterį. Modulių sąrašas:
1) Šnipinėjimo modulis – vienas galingiausių „Ramnit“ modulių. Jis stebi aukos naršymą, nustato, kada auka jungiasi prie el. bankininkystės, taip pat vagia kreditinių kortelių duomenis.
2) Slapukų (angl. cookies) modulis vagia slapukus ir siunčia botneto operatoriams. Operatoriai jungdavosi prie interneto svetainių ir apsimesdavo esantys auka. Teoriškai tai leidžia perimti el. bankininkystės prisijungimo sesiją. Žinoma, neturėdami slaptadžodžių kortelės ar generatoriaus, piktavaliai mažai ką gali padaryti.
3) Disko modulis ieško diske esančios jautrios informacijos (pvz. slaptažodžius) ir siunčia botneto operatoriams.
4) Anoniminis „FTP“ serveris. Naudojant jį, piktavaliai galėjo per atstumą prisijungti prie aukos kompiuterio ir naršyti po katalogus ir failus. Taip pat serveris galėjo būti naudojamas failų parsiuntimui, išsiuntimui, trynimui ir komandų vykdymui.
5) „VNC“ (angl. Virtual Network Computing) modulis suteikia įsilaužėliams kito tipo priegą prie užvaldytų kompiuterių.
6) „FTP“ prisijungimų modulis iš „FTP“ protokolo programų, kurias naudojo auka, renka prisijungimo prie „FTP“ tarnybinių stočių duomenis.