Anonimowi vs Zeus, czyli jak zrobić w trąbę domorosłych hakerów
Od dawna powtarzałem, że przestępcy są jednymi z najbardziej pomysłowych ludzi działających w Internecie - niektóre ich pomysły na wprowadzanie złośliwego kodu do komputerów są naprawdę godne podziwu. Właśnie mamy do czynienia z kolejnym potwierdzeniem tej tezy - Symantec opublikował analizę, z której wynika, że operatorzy osławionego botnetu Zeus w dziecinnie prosty sposób zdołali zainfekować komputery... internautów, biorących udział w inspirowanych przez haktywistów z The Anonymous atakach na serwery amerykańskich instytucji rządowych oraz organizacji antypirackich.
Do wydarzeń opisanych w raporcie Symanteca doszło pod koniec stycznia, krótko po zamknięciu serwisu Megaupload i aresztowaniu jego szefów. Anonimowi błyskawicznie zwarli szeregi i zorganizowali atak na niedobrych amerykańskich urzędników. Celem były m.in. serwery Departamentu Sprawiedliwości, wytwórni Universal czy organizacji RIAA, zaś środkiem - proste narzędzia do przeprowadzania DDoS-a, które każdy zainteresowany mógł pobrać i samodzielnie uruchomić na swoim komputerze.
The Anonymous udostępnili listę takich narzędzi do pobrania - była ona później wielokrotnie powielana, jednak nikt nie zorientował się, że na wczesnym etapie dystrybucji ktoś podmienił odnośnik do programu o nazwie Slowloris. Zainteresowani zamiast oryginalnego Slowrisa pobierali wersję nieco zmodyfikowaną przez przestępców - do pierwotnej wersji dodano kopię botworma Zeus, który po zainstalowaniu w Windows umożliwia m.in. wykorzystanie komputera jako elementu tzw. botnetu (sieci zombie-PC), a także wykradanie danych niezbędnych do logowania się do e-banków.
Na stronie Symanteca można znaleźć szczegółowy opis całej operacji - firma wyjaśnia krok po kroku jak doszło do "skażenia" pliku i jakie dokładnie dane mogą być dzięki Zeusowi wykradane z komputera.
Anonimowi zdążyli już oczywiście zaprzeczyć tym doniesieniom na Twitterze - przyznać trzeba jednak, że dementi wygląda raczej mało poważnie. W skrócie rzecz ujmując, sprowadza się ono do stwierdzenia "Symantec nie ma racji, a w ogóle to nie można mu wierzyć, bo ktoś mu kiedyś ukradł kod źródłowy").
Dla mnie cała ta historia wygląda całkiem wiarygodnie - potencjalni uczestnicy ataków koordynowanych przez Anonimowych faktycznie pod wieloma celami wydają się idealnym celem cyberprzestępców. To ludzie, którzy bez większego namysłu klikają na podsunięty im odnośnik, pobierają potencjalnie niebezpieczny plik i instalują go w systemie. Co więcej, nawet jeśli przeglądarka lub program antywirusowy wyświetliły jakiś alert, to pewnie został on zignorowany - w końcu jak się pobiera supertajne narzędzie hakerskie, to można się spodziewać takich komplikacji...
Oczywiście, ci bardziej doświadczeni i zorientowani w świecie IT członkowie The Anonymous z pewnością mogą czuć się bezpieczni - to ludzie, którzy wiedzą, jak się zabezpieczyć. Ale zwykli internauci, którzy chcąc przez jeden dzień poczuć się częścią Anonimowych, skorzystali z podsuwanych im narzędzi, powinni w tej chwili aktualizować antywirusy i uruchamiać skanowanie systemu (nie zawadzi też pozmieniać hasła do e-banków). Okazuje się bowiem, że bycie przez chwilę Anonimowym jest nie tylko nielegalne, ale może też po prostu być niebezpieczne.
