Спустя чуть более двух месяцев после масштабной операции российских правоохранительных органов по пресечению деятельности преступной группировки, стоявшей за получившим в 2015 году печальную известность троянцем Trojan.Dyre, о нем опять заговорили СМИ. На этот раз речь идет чуть ли не о победе над этой вредоносной программой, терроризировавшей крупнейшие финансовые организации всего мира с лета 2014 года. Однако сами правоохранительные органы пока не спешат сообщить об успехах в борьбе с очередным творением киберпреступного мира.
Специалисты компании «Доктор Веб» на протяжении всего времени существования троянской программы Trojan.Dyre пристально следили за ее распространением, изучали инфраструктуру, которая была создана злоумышленниками. Прежде всего следует отметить, что в данном случае «Доктор Веб» увидела «классический» пример реализации модели CAAS — crime-as-a-service (преступление как услуга). «Пользователи системы» получали билдер для генерации сэмплов троянца, который позволял часто менять его сигнатуру, делая его таким образом неуязвимым для антивирусных программ. При этом все данные, которые собирались троянцем на зараженных компьютерах, отправлялись на серверы владельцев Trojan.Dyre. Там они обрабатывались и заводились в административную панель, которая была доступна тем «пользователям», которые купили к ней доступ. Сама панель была разделена на несколько функциональных частей — управление ботами, поиск по логам. Кроме того, самих групп панелей было несколько. Все входящие данные анализировались фильтрами для получения интересующей мошенников информации (логины-пароли и т. д.).
Большой интерес представляет сама инфраструктура Trojan.Dyre, которая, как считают аналитики «Доктор Веб», является намного более сложной, чем инфраструктуры многих других нашумевших банковских троянцев. Обычно данные с зараженных компьютеров отсылаются троянцами на сервер, где и развернута панель, с помощью которой злоумышленники управляют своими ботами. В случае же с Trojan.Dyre использовался целый набор различных технологий, который свидетельствовал о том, что разработавшая и воплотившая в жизнь этот проект преступная группа располагает довольно внушительными финансовыми и человеческими ресурсами. Так, приемом и обработкой данных от ботов занимались «самописные» серверы на .Net, а панели управления ботнетом были написаны с использованием php-фреймворка Kohana. Для хранения и обработки массивов данных, поступавших практически со всех концов света, использовались базы postgres и mysql, а также система полнотекстового поиска sphinx. Все входящие данные поступали на специальные фильтры, которые служили для выделения интересующей мошенников информации (логины, пароли, номера банковских счетов, персональные данные пользователей и т. д.). Для защиты серверов от обнаружения были использованы Tor-серверы, а также proxy-серверы, объединенные в сеть посредством openvpn. Отличительной чертой атаки с использованием троянца Trojan.Dyre было размещение первичных проксирующих «прокладок» на взломанных злоумышленниками роутерах, где соответствующим образом была изменена таблица маршрутизации. Взломы роутеров производились рутинным подбором паролей, с учетом того факта, что многие пользователи не заботятся о смене заводских настроек защиты роутеров, а некоторые вообще не рассматривают их как точку возможного проникновения во внутреннюю сеть.
Тем не менее, аналитики «Доктор Веб» смогли определить целый ряд конечных серверов, которые использовались злоумышленниками. Были вскрыты элементы инфраструктуры Trojan.Dyre, удалось реализовать синкхол некоторых серверов. Это позволило получать важную информацию, которую специалисты компании оперативно предоставляли ряду европейских банков, а также правоохранительным органам нескольких стран.
Несмотря на опубликованную в СМИ информацию, в «Доктор Веб» считают, что по поводу Trojan.Dyre еще не пришло время расслабляться. До сих пор аналитиками компании фиксируются спам-рассылки с сэмплами троянца, и имеются основания полагать, что не все серверы инфраструктуры прекратили свою работу. Скорее всего, в этой истории «продолжение следует».