Aresztowany za botnet i nie tylko

FBI aresztowało dwudziestoletniego Jeansona Jamesa Anchetę. Chłopakowi z Los Angeles postawiono zarzuty związane z prowadzeniem gigantycznego botnetu komputerów zombie, również nieuprawnionego instalowania oprogramowania adware w celu uzyskania korzyści majątkowej. To bodaj pierwszy przypadek, w którym twórca botnetu wynajmował go innym w określonych celach (takich jak wysyłanie spamu czy ataki DDoS)...

Jak pisze Reuters: Jeanson James Ancheta był podobno dość dobrze znany w środowisku botnetowego podziemia. Przypadek pana Ancheta jest specyficzny, gdyż sprzedawał on dostęp do przejętych komputerów (do botnetu) innym. Dlatego "źli hakerzy" mogli odpłatnie wykorzystywać przez jakiś czas komputery, nad którymi przejęto zdalną kontrolę.

Jak do tej pory tworzenie botnetu składającego się z komputerów zombie służyło raczej do przeprowadzania ataków typu DDoS. To ponoć pierwszy przypadek, w którym twórca botnetu zaczął zarabiać pieniądze na oddaniu botnetu w swoistą "dzierżawę" (można też mówić o "najmie" botnetu). Ciekawe.

Anchecie postawiono 17 zarzutów związanych z naruszeniem przepisów amerykańskiego prawa federalnego, w tym takiej, jak udział w zorganizowanej grupie przestępczej, próba nieuprawnionego przesłania kodu do zabezpieczonego systemu informatycznego, przesłanie kodu na komputer rządowy, nieuprawniony dostęp do systemu komputerowego dokonany w celu uzyskania korzyści majątkowej. To oczywiście nieudolna próba przełożenia amerykańskich zarzutów wynikających z tamtejszych regulacji na polski meta język prawniczy, za co przepraszam. W oryginale brzmi to mniej więcej tak: "Ancheta is charged with two counts of conspiracy, two counts of attempted transmission of code to a protected computer, two counts of transmission of code to a government computer, five counts of accessing a protected computer to commit fraud and five counts of money laundering. Count 17 of the indictment seeks the forfeiture of more than $60,000 in cash, a BMW automobile and computer equipment that the indictment alleges are the proceeds and instrumentalities of Ancheta's illegal activity". Jak pisze Channel Register: akt oskarżenia zajmuje w tej sprawie 58 stron.

Jeśli zostanie uznany winnym wszystkich zarzutów - grozi mu kara pozbawienia wolności do lat 50. Więcej o stawianych zarzutach można przeczytać w notatce prasowej prowadzących dochodzenie. Tam również o tym, że mężczyzna konstruował botnet za pomocą konia trojańskiego o nazwie rxbot. Botnet był sterowany z poziomu IRC'a (Internet Relay Chat).

Czytając takie komunikaty (o botnetach i o tym, że posiadanie takiego botnetu jest "nielegalne") warto pamiętać, że "zwykli" użytkownicy sieci IRC również korzystają z botnetów. W tym przypadku chodzi o programy funkcjonujące sobie na różnych komputerach (serwerach), które na przykład "pilnują" kanału (wyglądają na pierwszy rzut oka jak sesja użytkownika). Programy te są ze sobą "zlinkowane" (połączone), co oznacza, że algorytm zainicjowany na jednym z botów uruchamia procedurę na innym (może być też tak, że jeśli jeden z botów wykona jakąś operację, to inny powinien wykonać inną operację; np. jeśli jeden z botów nada uprawnienia operatora (+o) wchodzącemu na kanał użytkownikowi, to drugi tego uprawnienia nie zdejmie itp). Dlatego możliwa jest na przykład ochrona przed nieuprawnionym przejęciem kanału (tekeover). W takim przypadku nie można mówić o przestępstwie. Oczywiście botnety ircowe mogą też być zaprojektowane w taki sposób, że działanie takiej sieci jest nakierowane na przejmowanie kanałów... (Strasznie uprościłem ten opis, wspinam się na wyżyny tłumaczenia abstrakcji!). Wiem. Dość, że w omawianym przypadku zaprojektowano botnet w ten sposób, że z poziomu IRC dało się kontrolować zdarzenia dziejące się poza tą "płaszczyzną" komunikacji, jaką jest IRC.

Cóż. Z wyników śledztwa wynika, że Jeanson przygotował i dostarczał swoim „klientom” specjalny podręcznik zawierający komendy do obsługi botnetu (albo jego części, w zależności od tego co chcieli uzyskać: czy to atak DDoS, czy tylko wysłanie masy spamu). Reklamował się również na jednym z kanałów IRC (będącym pod jego kontrolą). W ramach opłaty za "usługę" gwarantował też specjalną konfigurację sieci botów, tak by w konkretnym przypadku atak DDoS lub wysyłka spamu była przeprowadzona skuteczniej.

Ancheta miał zarobić na swoim procederze (na udziale w różnych programach afiliacyjnych prowadzonych przez sieci reklamowe) prawie 60 tys. dolarów (35 tys funtów, jak pisze VNUNet). Część z tych pieniędzy przeznaczył na utrzymywanie infrastruktury teleinformatycznej (serwerów) by utrzymywać swój botnet i by przeprowadzać kolejne ataki (rozwijać go), część zaś przeznaczył na zakup wspomnianego wyżej, całkiem prawdziwego (nie zaś wirtualnego) BMW. By uzyskać powyższy przychód musiał zainfekować i zainstalować oprogramowanie adware (jak pisze Cantonrep wyprodukowane m.in. przez firmę 180Solutions Inc.) na około 400 tys komputerów.

Firmy płacące za każdą instalację oprogramowania adware odcięły się od działań Ancheta. Mimo, że zdecydowały się (wiemy o tym, że instalował oprogramowanie adware przynajmniej dwóch takich firm) zapłacić mu za jego proceder, nie wiedziały ponoć o tym, że jakiekolwiek prawo było łamane. Zrezygnowały z Ancheta jako partnera (distributor) na początku tego roku, a jednocześnie ogłosiły, że nie mogą ponosić odpowiedzialności za jego przestępcze działania. Chodzi o to, że dobrowolne instalowanie i otrzymywanie pieniędzy z systemów afiliacyjnych wykorzystujących oprogramowanie do prezentowania reklam jest legalne, ale prawo amerykańskie zakazuje instalowania takiego oprogramowania za pomocą dziur bezpieczeństwa lub właśnie na komputerach, nad którymi przejęto zdalną kontrolę.

Tak czy inaczej mężczyzna został aresztowany w siedzibie FBI, gdzie został wezwany pod pretekstem, jak pisze VNUNet, odbioru sprzętu komputerowego zabezpieczonego przy innej okazji.

Wiemy co nieco o komputerach, nad którymi chłopak przejął zdalną kontrolę. Wymienia się wśród nich na przykład komputery funkcjonujące w amerykańskim Departamencie Obrony, albo w ramach sieci U.S. Naval Air Warfare Center w Chinach i Kalifornii.

Generalnie: bardzo ciekawy przypadek.