FBI ujęło twórcę botnetu Windigo

Fot. hackernews
Sprawa zatrzymania Maksyma Senakha, jednego z twórców botnetu Windigo nie jest nowa, jednak dopiero teraz udostępniono publicznie informacje na ten temat. Aresztowanie nie byłoby możliwe, gdyby nie współpraca wielu międzynarodowych organizacji takich jak CERT, CERN, znaczący udział w sukcesie FBI miała też słowacka firma ESET.

Botnet Windigo rozpoczął działalność w 2011 roku i przez trzy lata działał w ukryciu. W momencie wykrycia w marcu 2014 roku przez ekspertów firmy ESET, sieć przejętych komputerów-zombie wysyłała ponad 35 milionów wiadomości spamowych dziennie. Sprawcom udało się, za pomocą specjalnie zaprojektowanych ataków celowanych, zainfekować kilkadziesiąt tysięcy serwerów na całym świecie. Windigo przekierowywał użytkowników tych serwerów na niepożądane lub złośliwe treści. Rodzaj treści wyświetlanych użytkownikowi był zależny od platformy systemowej, z której korzystała ofiara ataku. W przypadku systemu Windows, Windigo – za pośrednictwem opanowanego serwera infekował komputer złośliwym oprogramowaniem. Posiadacze komputerów i laptopów Apple z systemem macOS byli zasypywani reklamami stron randkowych, a użytkownikom iPhone’ów wyświetlały się treści pornograficzne, oprócz tego botnet masowo rozsyłał spam.

Dzięki szczegółowym informacjom na temat działania botnetu, dostarczonym przez firmę ESET, FBI mogło rozpocząć skuteczny monitoring dochodów generowanych przez fałszywe sieci reklamowe, a to z kolei umożliwiło zidentyfikowanie ukrywającego się pod wieloma fałszywymi tożsamościami Rosjanina. Maksym Senakh został aresztowany na granicy fińsko-rosyjskiej w sierpniu 2015 roku, gdy znajdował się jeszcze na terytorium Finlandii. Rosyjska strona sprzeciwiła się wówczas procedurze aresztowania i ekstradycji, który to wniosek Amerykanie złożyli na ręce fińskich władz. Można podejrzewać, że miejsce aresztowania szefa Windigo nie było przypadkowe, procedury prawne Finlandii nie zakładają w ogóle odwołania od decyzji dot. ekstradycji, co sprawiło, że wydanie Senakha Amerykanom było jedynie kwestią czasu.

Windigo - schemat działania botnetu
Schemat działania botnetu Windigo (fot. ESET).

Rosjanin początkowo nie przyznawał się do winy, dopiero gdy FBI poprosiło ekspertów firmy ESET o delegację świadków, którzy złożyliby zeznania wyjaśniające działanie botnetu, oskarżony zmienił stanowisko i przyznał się do stawianych mu zarzutów, w zamian za zmniejszenie wyroku. Ostatecznie w sierpniu br. Senakh został skazany na 46 miesięcy więzienia, karę odbywa w federalnym więzieniu w stanie Minnesota.

Choć niewiątpliwie zatrzymanie i ukaranie twórcy botnetu można uznać za sukces organów zajmujących się ściganiem cyberprzestępstw, to warto też zauważyć jak dużą bezwładnością charakteryzują się działania śledcze, które ograniczone literą prawa muszą przed ujęciem cyberprzestępców zgromadzić odpowiedni materiał dowodowy. Cyberprzestępcy nie przejmują się prawem i choć niedługo po aresztowaniu Senakha analityk ds. bezpieczeństwa z firmy Rackspace zaobserwował znaczący spadek ruchu generowanego przez jeden ze złośliwych komponentów wbudowanych w botnet Windigo, to zmniejszenie aktywności nie oznacza niestety tego, że botnet udało się zlikwidować. Czytelników zainteresowanych technicznymi szczegółami działania botnetu Windigo zachęcam do zapoznania się ze szczegółowym, kilkudziesięciostronicowym raportem „Operation Windigo” przygotowanym przez ekspertów firmy ESET (dokument w formacie PDF, w języku angielskim). | CHIP

Źródło: Eset