Nền tảng buôn bán Botnet đối với các máy tính bị thâm nhập

Posted on 17 June 2009.

Theo:http://www.net-security.org/secworld.php?id=7642

Bài được đưa lênInternet ngày: 17/06/2009

Lờingười dịch: Có thể vào đúng lúc này, ngày hôm nay, ởđâu đó có ai đó đang rao bán 1,000 máy tính cá nhân củaViệt Nam chúng ta, những máy tính bị lây nhiễm các phầnmềm độc hại cùng với cả những dữ liệu mà bọn tộiphạm ăn cắp được với giá cả lô là 5USD thì chúng tacũng đừng ai lấy đó làm điều ngạc nhiên, vì đâychính là một thị trường mua bán sôi nổi trên thế giớihiện nay. Chỉ có điều, có lẽ là nó giống như mộtthị trường mua bán thịt thối vậy, ở đó có kẻ tạora môi trường để thịt dễ thối, có kẻ dựa vào môitrường đó để biến thành thịt thối và có kẻ bánthuốc để biến thành thịt hết thối, và có khi có kẻbất lương nào đó còn sắm nhiều hơn một vai. Và thúvị hơn cả, là những lô máy tính đó có thể sẽ đượcmua đi bán lại nhiều lần chứ không phải chỉ một lầnduy nhất.

Trung tâm nghiên cứumã độc hại Finjan (MCRC) dự kiến sẽ nghiên cứu mộtmạng buôn bán và botnet, nơi các máy tính bị tổn thươngđược bán và mua vì lợi nhuận.

Trong xuất bản phẩmthứ 2 của “Báo cáo Hiểu biết về Tội phạm Khônggian mạng” năm 2009 (tệp PDF theo đường link bên dưới),Finjan chỉ ra các hoạt động của mạng Tiền Vàng (GoldenCash) cấu tạo từ một nền tảng hoàn toàn thương mạivề các máy tính cá nhân bị quấy phá bằng các phầnmềm độc hại. Nền tảng buôn bán này sử dụng tất cảcác thành phần cần thiết (phía người mua, phía ngườibán, bộ công cụ tấn công, và phân phối thông qua “cácđối tác”). Nền tảng buôn bán tiến tiến này đánhdấu một bước mới trong sự phát triển của tội phạmkhông gian mạng.

Bằngviệc biến các máy tính cá nhân bị tổn thương từ mộtnguồn chỉ một lần sinh lợi thành một tài sản số mànó có thể được mua đi và bán lại nhiều lần, bọntội phạm không gian mạng đang tối đa hoá lợi nhuậnbất hợp pháp của chúng.

Báo cáo tình báo vềtội phạm không gian mạng bao trùm những thứ sau:

Về phía người muanền tảng buôn bán này, các lô 1,000 máy tính cá nhân bịlây nhiễm phần mềm độc hại có thể được mua vớigiá từ 5USD đến 100USD tuỳ thuộc vào khu vực.

Các đối tác sẽ trảtiền cho việc phân phối thành công các bot và thu thậpcác quyền uỷ nhiệm truyền tệp FTP của các website thôngqua các máy tính cá nhân bị lây nhiễm đó.

Ởphía những người bán nền tảng buôn bán này, bọn tộiphạm không gian mạng bán các lô hàng với 1,000 máy tínhcá nhân bị lây nhiễm phần mềm độc hại với giá từ25 USD tới 500 USD.

Các máy tính cá nhânbị lây nhiễm phần mềm độc hại có thể bị lây nhiễmbởi các phần mềm độc hại bổ sung mỗi lần chúngđược mua bởi một “ông chủ” mới.

Đối với các cuộctấn công và khai thác, một bộ công cụ khai thác với mãnguồn đen tối và bộ công cụ tấn công Trojan Zalupko sẽđược cung cấp.

“Nhưđược thông báo bởi Finjan trước đó, bọn tội phạmkhông gian mạng luôn tìm kiếm các phương pháp cải tiếnđể tạo nên lợi nhuận. Bổ sung vào việc ăn cắp cácdữ liệu và bán các dữ liệu đó, chúng bây giờ cũngbuôn bán luôn cả các máy tính cá nhân như những ngườimua, người bán và các đối tác nếu có thể. Nhìnvào danh sách các máy tính bị tổn thương chúng tôi đãthấy, thì rõ ràng rằng không có máy tính cá nhân củacá nhân ai đó, công ty nào đó hoặc chính phủ nào đólà an toàn cả”, Yuval Ben Itzhak, giám đốc công nghệ củaFinjan, nói.

Finjan'sMalicious Code Research Center (MCRC) managed to research a tradingnetwork and botnet, whe-re compromised PCs are bought and sold forprofit.

Inthe second issue of its “Cybercrime Intelligence Report” of 2009(PDF),Finjan shows the operations of the Golden Cash network consisting ofan entire trading platform of malware-infested PCs. The tradingplatform utilizes all necessary components (buyer side, seller side,attack toolkit, and distribution via “partners”). This advancedtrading platform marks a new milestone in the cybercrime evolution.

Byturning compromised PCs f-rom a one-time source of profit into adigital asset that can be bought and sold again and again,cybercriminals are maximizing their illegal gains.

Thecybercrime intelligence report covers the following:

Onthe buyer side of the trading platform, batches of 1,000malware-infected PCs can be purchased for $5 up to $100; depending onterritory

Partnersare paid for successfully distributing the bot and collectingFTP-credentials of legitimated websites through the infected PCs

Onthe seller side of the trading platform, cybercriminals sell batchesof 1,000 malware-infected PCs for $25 up to $500

Compromisedmalware infected PCs may be infected with additional malware eachtime they are purchased by a new “owner”

Forattacks and exploitations, an exploit toolkit with obfuscated codeand the Trojan Zalupko attack toolkit are provided.

"Asreported by Finjan before, cybercriminals keep on looking forimproved methods to generate profit. In addition to stealing data andselling them on, they now also trade compromised PCs to as manybuyers, sellers and partners as possible. Looking at the list ofcompromised PCs we found, it is clear that no individual, corporateor governmental PC is safe," said Yuval Ben-Itzhak, CTO ofFinjan.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com