Еще раз об угрозе Trojan.Dyre
Компания «Доктор Веб» опубликовала собранную ее специалистами информацию о троянской программе Trojan.Dyre, получившей широкую известность в 2015 г. как масштабная угроза крупнейшим финансовым организациям мира. Ее активность резко пошла на убыль после операции российских правоохранительных органов в ноябре прошлого года.
Аналитики «Доктор Веб» следили за распространением Trojan.Dyre на протяжении всего времени существования программы, изучали созданную злоумышленниками инфраструктуру. ПО их мнению, это классический пример реализации модели CAAS – crime-as-a-service (преступление как услуга). «Пользователи системы» получали билдер для генерации сэмплов троянца, который позволял часто менять его сигнатуру, делая его неуязвимым для антивирусных программ. Все данные, которые собирались троянцем на зараженных компьютерах, отправлялись на серверы владельцев Trojan.Dyre. Там они обрабатывались и заводились в административную панель, которая была доступна тем «пользователям», которые купили к ней доступ. Сама панель была разделена на несколько функциональных частей –управление ботами, поиск по логам. Все входящие данные анализировались фильтрами для получения интересующей мошенников информации (логины-пароли и т. д.).
Инфраструктура Trojan.Dyre, как считают аналитики «Доктор Веб», намного более сложна, чем инфраструктуры многих других банковских троянцев. Обычно данные с зараженных компьютеров отсылаются троянцами на сервер, где и развернута панель, с помощью которой злоумышленники управляют своими ботами. В случае же с Trojan.Dyre использовался набор различных технологий, который свидетельствовал о том, что преступная группа располагает довольно внушительными финансовыми и человеческими ресурсами. Так, приемом и обработкой данных от ботов занимались «самописные» серверы на .Net, а панели управления ботнетом были написаны с использованием php-фреймворка Kohana. Для хранения и обработки массивов данных, поступавших практически отовсюду, использовались базы postgres и mysql, а также система полнотекстового поиска sphinx. Все входящие данные поступали на специальные фильтры, которые служили для выделения нужной информации (логины, пароли, номера банковских счетов, персональные данные пользователей и т. д.). Для защиты серверов от обнаружения были использованы Tor-серверы, а также proxy-серверы, объединенные в сеть посредством openvpn. Отличительной чертой атаки с использованием троянца Trojan.Dyre было размещение первичных проксирующих «прокладок» на взломанных злоумышленниками роутерах, где была изменена таблица маршрутизации. Взломы роутеров производились рутинным подбором паролей, с учетом того факта, что многие пользователи не заботятся о смене заводских настроек защиты.
Специалисты «Доктор Веб» смогли определить целый ряд конечных серверов, которые использовались злоумышленниками. Были вскрыты элементы инфраструктуры Trojan.Dyre, удалось реализовать синкхол некоторых серверов. Это позволило получать информацию, которую специалисты компании оперативно предоставляли ряду европейских банков, а также правоохранительным органам нескольких стран.
Несмотря на опубликованную в СМИ информацию о победе над угрозой, в «Доктор Веб» считают, что по поводу Trojan.Dyre пока рано расслабляться. До сих пор аналитики компании фиксируют спам-рассылки с сэмплами троянца, и есть основания полагать, что не все серверы инфраструктуры прекратили свою работу.