上周,我們說過,那些進行高額敲詐的黑客們劫持了大約1.5億的聯網計算機,並利用這些計算機進行犯罪。他們都是些有著像rustock和warezov這樣令人毛骨悚然的名字的黑客團伙。這些人控制著被感染的計算機—所謂的僵屍—用這些計算機散發垃圾郵件或者攻擊網站,以便謀取暴利。
他們還用這些僵屍網絡互相攻擊
數年來,黑客們開發了各種目的不同的惡意程序,人們稱為木馬和病毒,它們一般通過電子郵件附件或者通過被感染的網頁侵入用戶的計算機。一旦進入了受害計算機,該程序就將計算機變成了黑客們—現在稱為僵屍牧人—所控制的僵屍大軍中的一員了,黑客們可以用受害計算機發送數十億的垃圾信息或者用他們產生大量無用的流量從而使站點崩潰。然而,最近,由於受害計算機的數量大幅地增長,安全專家稱這是個互聯網攻擊大流行的時期。
現在操控僵屍網絡可賺取相當那個豐厚的利潤,因此被劫持的計算機就成了非常有價值的資源。於是,不同的黑客組織之間現在開始互相競爭被感染的計算機了。這種數碼戰爭是非實體的,但是它確實是真正的戰爭。僵屍牧人們互相竊取感染的計算機,保護自己的資源不被搶走,並經常試圖使對方的計算機離線。“這些戰爭殘酷而激烈,黑客們是為了賺錢而戰的……他們本來就都很冷酷無情,只要能掙錢,他們並不在乎傷害了誰,”語出——arbor networks安全研究員jose nazario。
這場戰爭逐漸升級,僵屍牧人們現在必須十分小心地守護著他們所劫持的計算機。去年10月份,一個還沒有命名的俄羅斯團伙發布了叫做spamthru的程序,該程序能感染世界上任何地方的計算機,並且能夠迅速積聚成擁有數十萬感染計算機的僵屍網絡,這種網絡能夠每天發出10億垃圾信息。
為了保護自己控制的資源,該惡意程序包含了一段剽竊自卡巴斯基殺毒軟件的程序,黑客們用這段程序阻止除自己之外的其他黑客的攻擊。spamthru能夠往所有被感染的計算機上安裝這段防毒程序,殺掉所有其他病毒。它甚至還會給作者發送感染率報告!而剽竊來的防毒程序會繼續保護spamthru的僵屍網絡不受當前的其他惡意程序的攻擊。
現在的僵屍牧人都會用各種辦法讓他的僵屍們能夠抵御其他競爭者的攻擊,,因此要想搶奪資源的話,襲擊這種特設的防毒軟件是非常必要的。一月份,有人發布了storm蠕蟲—它可能是目前最危險的病毒—該蠕蟲就有雙重功能。除了散發垃圾郵件外,被storm感染了的計算機還會攻擊那些被它的競爭對手俄羅斯warezov團伙控制的網站,還有那些帶有例如esunhuitionkdefunhsadwa.com等隱晦意義的名字的站點。把這些站點攻擊掉線,那麼它的競爭對手的垃圾網絡也會部分癱瘓。因為這些站點是作為warezov所劫持的計算機的通信中樞而存在的;一旦它們被攻擊了,僵屍網絡就不知道該攻擊哪裡了。
這種storm蠕蟲很顯然是用來擠垮競爭對手的。“他們正在攻擊其他的僵屍網絡,”secureworks公司的傑出的防毒軟件研究員joe stewart說。由於這種攻擊是根植於storm病毒中的,它不需要任何人工干預。stewart說,“它會自動發起大規模的戰爭……”
他們是第一的
為什麼他們要進行這種戰爭呢?那是因為跟其他產業一樣,這些僵屍控制者也需要推銷他們的服務。同樣,每個僵屍牧人也希望自己被承認是最強的。“這些家伙在這點上跟生意人一樣,考慮的都是如何使利潤最大化。他們采取這樣的行動一點也不奇怪,”stewart說。“我們認為他們會繼續互相競爭,企圖超過對手。他們都想成為擁有最大的僵屍網絡的那個唯一的勝利者。”
這絕對是事關大筆金錢的事情。jose nazario說,單單一個針對賭博站點的拒絕服務攻擊就價值50000美金/天。典型的拒絕服務攻擊中,僵屍牧人會讓數以千計的計算機都攻擊一個站點,產生巨大流量,使其表現不可及的狀態。合法用戶無法訪問站點,只會收到網絡忙的反饋。這樣黑客就可以向網站所有者索要付款,以便擺脫這些捏造的巨大流量。對賭博站點來說,這種服務中止會造成大量的金錢損失,他們的站點的利潤可都是按分鐘來計算的;於是,一般在無計可施的情況下,很多公司都會支付這筆勒索金的。有三個俄羅斯僵屍牧人最近因勒索英國的數個賭博運營商判刑八年。芬蘭的f-secure.com公司的研究人員mikko hypponen說,“這些團伙在被捕前賺了數百萬美元。”
線上有這麼多的錢,僵屍牧人們不可能不互相竊取資源的。nazario說,“如果新感染10萬計算機需要1周的時間,而從另一個僵屍網絡竊取同樣數量的計算機只需要1小時,那麼你會選擇哪種方法呢?”答案是很明顯的。
修復bug的速度“比商業軟件還快”
僵屍網絡的作者們能利用各種方法互相竊取資源。最常見的方法是:攻擊原始僵屍軟件的漏洞。這恰恰是病毒開發者攻擊windows和其他商業軟件的方法。舉一個典型的例子,2004年大規模爆發的mydoom病毒,它就是在感染的所有計算機上開啟後門程序,以便讓作者安裝更新。但是,它的競爭對手很快發現了那個後門程序,他們隨後利用被稱為“doomjuice”的病毒接管了所有mydoom感染的計算機。
當一台被劫持過的計算機再次被劫持的時候,第二次劫持的程序會迅速使前一個程序停用並關閉。nazario說,事實上,所有的軟件,包括黑客軟件,都有漏洞,因此黑客們會定期互相刺探對方工具的弱點。同時,僵屍病毒的作者會在發現漏洞後迅速反應,以免給自己造成損失。nazario說“其中一些bug的更新速度比商業軟件的bug更新速度還要快。”
這些貪婪的僵屍牧者還經常在網上閒逛,尋找被感染但處於休眠狀態的計算機,他們稱這個過程為“大清洗”。這些攻擊的目的不都是為了讓你的什麼功能停用,shadowserver基金會的研究人員andre'm.dimino說。有時,他們之間的戰爭只是為了證明實力。
“他們想要證明他們的僵屍網絡比其他的更強,”diminoat說。今年早些時候,對核心計算機而不是網絡上的所有計算機所進行的大規模攻擊正是為了證明這點。上個月,互聯網名稱與編號分配組織,也就是運行那些計算機的公司,提供了一份最新報告,報告指出該攻擊的發動者是一個想要通過證明自己網絡的規模以及威力之大來推銷自己的僵屍牧人。
最近湧現的僵屍戰爭並不是黑客團伙們的首次戰爭。2004年,bagle,netsky以及前面提到過的mydoom的開發者們在攻擊計算機的時候就已經明爭暗斗了。並且很多病毒還攻擊了spamhaus.org,這是一個致力於阻止垃圾郵件的網站。
但是那些戰爭都是大張旗鼓地進行的,最後搞得人盡皆知。而今天的僵屍戰爭目標更加明確—它們專注於競爭,影響范圍也更加集中,更具有自動性。隨著垃圾郵件和拒絕服務攻擊的利潤一路飙升,此類戰爭也與利益更加緊密相關了。但是這些攻擊仍然有一個重要的共同點。此類戰爭中沒有刀槍劍戟之類,或者甚至是拳頭之類的武器。唯一的戰斗武器就是計算機。