Неуловимые мстители (СИ) - Север Евгений - Страница 15

Теория, выдвинутая Кэрнэлом, гласила, что если воссоздать точную копию существовавшей некогда управляющей инфраструктуры, со всеми её айпишниками и настройками, то получится снова подключиться к тем, кто многие годы скрывался в тени и ждал.

Можно вернуть контроль над утерянной армией.

В качестве подопытного для эксперимента, хакер предложил старый уничтоженный Stormnet… Штормовой ботнет из далёкого прошлого. Мотивировал он это тем, что данный вредонос, за столько лет бездействия, мог разрастить до весьма больших размеров. Единственной проблемой может стать необходимость восстанавливать не просто сервер управления, а целый отдельный протокол, на котором этот ботнет работал.

— Ну, неплохо… — блямкнуло в чате сообщение от Мазая. — Вот только, насколько мне известно, Шторм стёрли подчистую. Ты думаешь, что-то осталось?

— Я не «думаю», — ответил на это Кэрнэл. — Я знаю. Недавно залез на один старый сервак в инете, и нашёл там исправно работающий образец этой штуки. После стольких-то лет. То, что они потёрли — было лишь частью сети. Что же всё это время происходило с теми, кто уцелел?

К великому сожалению для себя, Шухов о данном вирусе слышал лишь в исторических справках на просторах интернета, и конкретной информацией не владел. Пришлось обратиться за помощью:

— Скайнет, мне нужна полная информация о Stormnet. Только это… обработай её так, чтобы я не сухую статистику слушал, а что-то вроде информационного поста. Я так быстрее воспринимаю, — отдал указание хакер.

— Обработка запроса… — раздался в ухе спокойный и размеренный голос ИскИна.

'17 января 2007 года в сообществах по кибербезопасности начинают появляться странные слухи о новой разновидности вредоносного ПО, распространяющегося не то по электронной почте, не то эксплуатируя уязвимости нескольких поколений систем Windows. Часть исследователей утверждала, что это новый троян, ещё часть — что это разновидность малвари для DDoS атак. Цифры заражённых компьютеров плясали в диапазоне между надеждой и отчаянием: от ста тысяч активных машин до двух миллионов. На тот момент ещё никто не подозревал, что все они окажутся правы в предположениях.

Штормовой ботнет или Stormnet самая известная киберугроза 2007–2008 года. В моменте заразил 8% всех компьютеров с системами Windows в мире. Распространялся методами массовых спам-рассылок на миллионы адресов электронной почты, в теле письма содержались новостные повестки с громкими, часто «кричащими» названиями. Своё имя получил за счёт самой первой рассылки, сообщавшей о жертвах шторма, в странах Европы.

Ботнет считался самым передовым кибероружием того времени. Это выражалось в использовании сети p2p для связи заражённых хостов между собой по протоколу Overnet. Это не позволяло вычислить единственный командный сервер и закрыть его, как в случае с предыдущими поколениями ботнетов, построенных на топологии «звезда». Забегая вперед скажу, что именно эта особенность, сделавшая его бессмертным в итоге и послужила причиной уничтожения всей бот-сети.

Второй технологичной фишкой ботнета был server-side полиморфизм. Что это такое? Алгоритм, который отвечает за мутации, не жёстко прописан в самом коде бота (как у других полиморфов), а реализован на стороне сервера и генерирует постоянно новый экземпляр бота, с иными сигнатурами. Это был маленький адок для антивирусных систем. Эристический и поведенческий анализ в них появится гораздо позже.

В пиковые моменты активности, Шторм генерировал 20% всего спама в Интернете. Независимыми исследователями был проведён анализ мощности данного ботнета, включавшего в себя не менее полутора миллионов компьютеров. В результате выяснилось — общая вычислительная способность Stormnet превосходила все известные на тот момент суперкомпьютеры планеты.

Ещё одной отличительной особенностью новой малвари были активные попытки контратак на адреса с которых предпринималось слишком много запросов на загрузку обновлений. Это воспринималось системой защиты как попытка проанализировать работу ПО антивирусными компаниями. Как только ботнет замечал такую аномальную активность, часть его мощностей тут же принималась DDoS-ить враждебный адрес.

Зарабатывали создатели ботнета на том же спаме, рекламируя различные лекарства и препараты, проводили заказные фишинговые компании, устраивали DDoS атаки.

Крах Шторма был таким же величественным, как и его становление. В конце 2008 исследователи безопасности, наконец, расковыряли несколько уязвимостей в ботнете и написали утилиту «Stormfucker» которая самостоятельно распространилась по децентрализованной сети Overnet и стерла ботов со всех активных машин. Правда разработчики винды активно с этим спорили, пытаясь доказать, что это их очередное обновление безопасности нарушило работу ботнета. Но, в отличии от команды кибербезопасников, те так и не привели убедительных доказательств своих слов.

В последствии, часть кода Шторма будет выставлена на продажу. На его основе напишут множество подобных ботнетов, но гораздо меньшего масштаба. Stormnet стал переломным моментом в войне хакеров и специалистов кибербезопасности, склонив чашу весов в сторону первых. Модель построения децентрализованных и устойчивых к закрытию командных серверов для бот-сетей, будет взята на вооружение и начнёт набирать обороты, постепенно вытесняя собой уже привычную топологию с одним командным центром.

Создатели Stormnet не найдены до сих пор'.

Прослушав краткое донесение от персонального помощника, Шухов снова посмотрел на экран ноутбука, где переписка и не думала стихать:

— Нам останется объединить имеющиеся у нас ботнеты, синхронизировав их действия… — вещал Кэрнэл.

— И как въеб…! — закончил фразу Киллдозер.

— Э… нет. С этим мы подождём.

— Справишься? — поинтересовался Шухов с нотками сомнения в голосе.

— Да, без проблем, — ответил ИскИн после двухминутного анализа предоставленного ему исходного кода и разъяснения задачи.

Вместо того, чтобы сидеть самим и играться с переписыванием и настройкой старых исходников Шторма под новые реалии, Кэрнэл решил сбросить всю тяжёлую работу на ИИ. Где хакер достал полную кодовую базу старого ботнета, оставалось тайной за семью печатями даже для участников группы. Сколько Мазай его не расспрашивал — идейный вдохновитель молчал.

Суть была проста. Первый этап — запуск старой инфраструктуры ботнета в исходном виде, чтобы получить доступ к заражённым системам. Второй этап — запуск обновления программного обеспечения, которое закрывает существующие дыры в протоколе и механизмах реализации. Третий этап — расширение заражённой сети, если такая необходимость возникнет. Четвёртый — тестирование общей ударной мощности Шторма вкупе с уже имеющимися у группировки ботнетами.

ИскИны поделили пополам. Одна часть занималась восстановлением старого, другая — созданием нового. Задачей отведённой Скайнету являлась разработка алгоритма генерации и шифрования нового бота. Та самая часть, которая приносила больше всего проблем антивирусным компаниям, так как каждый раз сигнатуры в заражённой системе были разными и не получалось обнаружить общие паттерны.

Инитовский Вивальди занимался воскрешением и конфигурированием практически исчезнувшего протокола Overnet, Давинчи и Нексус принадлежавшие Мазаю и Кэрнэлу компилировали древние исходники под семь виртуалок, на которых предполагалось запускать командные сервера. Робин и Мориарти относящиеся к Визарду и Киллдозеру, с помощью статического анализа искали и латали дыры в коде, подготавливая пакеты обновлений. Ещё двое были заняты тестированием всего этого дела. Работа кипела. Хакеры наблюдали.

— Знаете, а мне нравится смотреть, как работают другие, — спустя две недели такой деятельности, сказал Киллдозер.

— М-да, то, что мы делали бы месяца три, они закончили уже к концу шестого дня, — отозвался Инит один.

— Кроме твоего долбанного композитора, — появилось сообщение от Кэрнэла. — У меня такое ощущение, что он не протокол настраивает, а новую симфонию сочиняет. На кой хрен ты его нотам учишь?