Operace Ghost Click: největší zátah na kyberzločince!

neděle 13. listopadu 2011 12:10
Útočníci dokázali (zdánlivě) nemožné: vytvořili pro své oběti vlastní internet!

 

Nejméně čtyři milióny počítačů – nejen koncových uživatelů, ale také ve firemním prostředí či u veřejných organizací – mají v těchto dnech velké problémy. Gang podvodníků zadržený v rámci operace FBI nazvané Ghost Click je totiž dokázal přesměrovávat na své servery a zároveň jim podsouvat vlastní obsah způsobem, jaký nemá v historii informačních technologií obdoby.

 

Princip útoku byl až děsivě jednoduchý. Pokud chce uživatel navštívit nějakou webovou stránku, odesílá počítač dotaz na jeden z DNS serverů (Domain Name System) – a ten mu sdělí jeho přesnou adresu. DNS servery patří k nejstřeženějším místům internetu, aby útočníci nemohli jejich záznamy modifikovat.

 

Teď si ale představte situaci, kdy se počítače nebudou ptát oficiálních, ale podvržených (tedy útočníky připravených) DNS serverů. Uživatel bude chtít vstoupit například na web své banky, z jeho počítače vzejde regulérní požadavek, ale podvržený DNS server mu sdělí špatnou adresu. Poškozený to ovšem ze svého úhlu pohledu nemá šanci zjistit.

 

Klíčem k tomuto šílenému scénáři je změnit ve špatně chráněných počítačích adresy skutečných DNS serverů za adresy serverů podvržených. Dotazy pak směřují právě k podvodníkům.

 

Přesně takovouto síť se nyní podařilo americké FBI rozkrýt a zlikvidovat v rámci operace Ghost Click. Kyberpodvodníci fungovali z Ruska a Estonska, jejich hlavou byl Vladimir Cascin (31). Ten si díky ovládání více než čtyř miliónů počítačů (z více než jednoho sta zemí světa!) přišel ročně na desítky miliónů dolarů. Podobně blahobytně si žili i jeho společníci. Jejich hlavním oborem „podnikání“ bylo vyměňování inzerce a reklamy. Zadavatelé s nimi byli maximálně spokojeni, protože na jejich reklamy se zobrazovaly miliónům (nicnetušících) uživatelů – a těm byly následně často podsouvány weby zadavatelů reklamy, takže jim utěšeně rostla návštěvnost.

 

Uživatelé padli do spárů podvodníků poté, co si instalovali do počítače škodlivý program (tzv. DNS Changer), který jim změnil odkazy na DNS servery. Typicky (nikoliv však výhradně) se tak stalo po návštěvě stránek s pornografickou tematikou, warezem, nelegálním softwarem apod. – zkrátka s oblastí, kterou bychom mohli označit jako „internetové podsvětí“. Škodlivý program kromě toho blokoval aktualizace antivirových programů a další bezpečnostní prvky.

 

Ruka zákona dopadla, hlavní aktéři podvodu jsou za mřížemi. Vyšetřovatelé ale řeší jednu velkou výzvu: kdyby podvodné DNS servery okamžitě odstavili, více než čtyři milióny počítačů na světě by se najednou nedokázalo připojit k internetu. Zkrátka by se ptaly na neexistujících serverech.

 

Až dříve či později k vypnutí těchto podvodných DNS serverů dojde, ani v nejmenším to nepocítí uživatelé bezpečnostních technologií Kernun společnosti TNS. Jsou totiž chráněni před oběma kroky podvodníků: jednak před instalací odkazů na podvodné DNS servery, jednak před vlastním posíláním dotazů na ně. Řešení Kernun Clear Web blokuje nebezpečné webové stránky a odkazy (jejich účinnost v českém prostředí přesahuje 95 procent, zatímco konkurenční produkty se pohybují v rozmezí 60 až 80 procent). Firewall Kernun kontroluje na perimetru sítě všechny DNS dotazy, tedy umí vždy ověřit AAA záznamy (a to i v případě domén, které nemají implementován DNSSEC). To znamená, že je zcela lhostejné, na jaký DNS server vznáší ten který klient dotaz – Firewall Kernun jej vždy a za všech okolností předá správnému autoritativnímu DNS serveru.

O společnosti TNS

Společnost Trusted Network Solutions, a.s. (TNS) patří mezi přední české IT společnosti s více než desetiletými zkušenostmi v oblasti bezpečnosti počítačových sítí. Mezi její vlajkové lodi patří Firewall Kernun a webový filtr Kernun Clear Web, oba zaměřené zejména na specifické hrozby českého internetu. TNS se může pochlubit řadou spokojených zákazníků z oblasti veřejné správy, bankovnictví i výrobních podniků.

 

Původní zpráva FBI: ZDE

DNS Changer: ZDE