05 Июля 2013 12:07 05 Июл 2013 12:07 |

Поделиться

Атака на «Аэрофлот»: Как в «Касперском» изучали содержимое ноутбука хакеров

CNews продолжает публиковать материалы уголовного дела и соответствующего судебного разбирательства о Ddos-атаке против платежной системы «Ассист». Одним из моментов, вызвавших острые споры в ходе процесса, стала произведенная «Лабораторией Касперского» по просьбе ФСБ экспертиза вредоносного программного обеспечения и исходных кодов, результаты которой стали одним из доказательств обвинения.

Напомним, атака состоялась летом 2010 г., в результате чего в течение недели была недоступна оплата электронных билетов на сайте основного клиента «Ассист» – «Аэрофлота». Через год ФСБ раскрыло это дело, арестовав всех предполагаемых фигурантов: заказчика - владельца платежной системы Chronopay (конкурент «Ассист») Павла Врублевского, исполнителей – братьев Дмитрия и Игоря Артимовичей, а также посредника – сотрудника службы безопасности Chronopay Максима Пермякова.

Подозреваемые были выявлены в ходе оперативных мероприятий, проводившихся ФСБ еще в августе-сентябре 2010 г. В частности, установив мониторинг за интернет-каналом Артимовичей, оперативники обнаружили факт захода ими на панель управления программного обеспечения Topol-Mailer, а также перехватили логин и пароль от нее. По просьбе ФСБ специалисты Group-IB зашли на данный сервер и пришли к выводу, что это – панель управления бот-сети, используемой для рассылки спама и организации DDos-атаки.

Из этой панели оперативниками был скачен файл «crypted.exe», который оказался вредоносным ПО. Он устанавливает свои компоненты в систему Windows без санкции пользователя с целью дальнейшего получения команд от удаленного сервера. Через год, после ареста подозреваемых, на квартире Артимовичей в Ленинградской области были изъяты два ноутбука Lenovo, на которых следствие ожидало найти следы создания бот-сети.

Касперский вместо ФСБ

Далее перед следствием встал вопрос о проведении экспертизы. Государственным судебно-экспертным учреждением в данной сфере является Управление информационных технологий Центра информационной безопасности (ЦИБ) ФСБ. Однако один из обвиняемых – Пермяков – до прихода в Chronopay работал в оперативном управлении ЦИБ ФСБ, что заставило следователя Сергея Дадинского не поручать экспертам данного управления это мероприятие.

В связи с этим ФСБ отправила запрос в «Лабораторию Касперского» (ЛК), из которой пришел ответ, что сотрудник компании Григорий Ануфриев может выполнить указанную экспертизу. Ануфриеву были предоставлены ноутбуки обвиняемых, а также компакт-диск с файлом «crypted.ex» (переименование осуществили с целью избежать конфликта с антивирусным ПО). Задачей эксперта было установить, являются ли предоставленные ему программы вредоносными и какие функции они выполняют.

На одном из ноутбуков в директории «Projects/Botnet» Ануфриев обнаружил написанные на языке C++ исходные коды программного обеспечения Topol-Mailer. Также с помощью «Антивируса Касперского» эксперт установил, что файл «crypted.ex» классифицируется как вредоносное ПО «Rootkit.Win32.Tent.bvb». Затем этот файл был дизассемблирован с помощью утилиты Ida Pro 6, что позволило эксперту установить схожесть ряда компонентов Topol-Mailer и «crypted.ex».

Отметим, что C++ - это язык программирования высокого уровня, который при компиляции сначала преобразуется в язык низкого уровня Assembler, а потом – в машинный код. Дизассемблирование — это процесс получения из исполняемого файла исходных кодов на языке Assembler.

Проведенный Ануфриевым анализ исходных кодов Topol-Mailer показал, что в них присутствуют все компоненты бот-сети. В первую очередь, это «Loader», осуществляющий те же действия, что и «crypted.ex»: расшифровку и установку в операционную систему Windows драйвера вредоносного ПО, который регистрируется под различными именами в качестве сервиса и, таким образом, загружается при каждом включении компьютера.

Появившийся в системе компонент «ядро» устанавливает зашифрованное соединение с заранее заданными серверами, откуда он получает обновления, дополнительные компоненты и команды. В исходных кодах был найден и компонент, отвечающий за выполнение Ddos-атаки тремя различными методами: «TCP-port flood», «UDP-port flood» и «TCP-get flood». В свою очередь, модуль «Bot.Spam» после установки осуществлял тестовые соединения с почтовыми серверами Mail.ru и Google, затем, в случае успеха, принимал от сервера тексты писем и списки адресов для их рассылки.

Также были найдены следующие модули: «Bot.Grabber» ( собирал с компьютера зараженного пользователя адреса электронной почты и FTP-серверов), «Bot.Logger» (перехватывал конфиденциальную информацию пользователей, передаваемую по протоколу Http методом Post) и Bot.Socks (позволял превратить компьютер зараженного пользователя в прокси-сервер под протоколом Socks). Среди исходных кодов присутствовали и компоненты серверной части сети Topol-Mailer.

Просто «как Отче Наш»

Адвокаты Врублевского еще на этапе следствия пытались опротестовать включение выводов Ануфриева в материалы уголовного дела. Для этого назывался ряд причин, включая «известный из широких кругов факт», что основатель ЛК Евгений Касперский ранее учился в Высшей школе КГБ (до 1987 г.). Но следователь ответил отказом. Тогда защита попыталась опротестовать выводы эксперта ЛК в ходе судебных слушаний. Сам Григорий Ануфриев был вызван для дачи показаний в Тушинский районный суд Москвы, который рассматривает данное уголовное дело.

На вопросы обвиняемых эксперт сообщил, что он не производил ни запуска файла «crypted.ex», ни компиляцию исходных кодов. Для анализа указанных объектов Ануфриеву хватило собственной компетенции в области reverse engineering, позволяющей ему с помощью чтения исходных кодов программы понять ее функционал, а также возможностей Ida Pro. Эта утилита, по словам эксперта, в некоторых случаях даже позволяет восстановить имена функций, заложенных программистом при создании соответствующей программы.

На вопрос о том, каким образом удалось сравнить функционал двух программ на основе их исходных текстов, написанных на разных языках программирования, Ануфриев привел пример из Библии. «Я читал Отче Наш на русском и древне-греческом языках, - заявил эксперт. - Одно и то же, а написано по-разному. Так и тут».

Неблагодарная задача

В ответ защита вызвала в суд своего свидетеля – гендиректора саратовской компании «Национальный центр по борьбе в сфере высоких технологий» Игоря Юрина, который подверг экспертизу Ануфриева резкой критике. Во-первых, Юрин отметил, что сама задача чтения чужих исходных кодов является «неблагодарной», а исходные коды, не прошедшие процесс компиляции, вообще не могут считаться программой . Во-вторых, по словам эксперта, компиляция носит необратимый процесс и восстановить затем имена функций и переменных невозможно.

К тому же дизассемблер дает не сам исходный код, а так называемый листинг – текст на языке Assembler, который должен быть схож с оригинальным исходным текстом, но даже его не всегда потом удастся скомпилировать. «Это все равно, как если кто-то осуществит литературный перевод стихотворения с русского на немецкий, потом кто-то другой осуществит обратный литературный перевод на русский, и затем эти два текста попытаются сравнить», - заявил Юрин.

Тем более свидетелю со сторону защиты не понятно, как можно сравнивать тексты программ на языках разного уровня - C++ и Assembler. «Assembler – язык, максимально приближенный к архитектуре ЭВМ и состоящий из команд процессора, а потому тысячи строк текста на этом языке могут соответствовать одной строке на языке высшего уровня, - сказал Юрин. - Теоретически Ida Pro может позволить получить и исходные коды на языке C++, но для этого нужны дополнительные модули, об использовании которых в экспертизе Ануфриева ничего не говорилось».

Впрочем, судья Наталья Лунина, как и ранее следователь, отказала защите в исключении экспертизы Григория Ануфриева из материалов дела. В ЛК экспертизу своего сотрудника комментировать не стали.

Игорь Королев

Поделиться

Короткая ссылка