I våres kom IT-sikkerhetsekspert Joe Stewart i selskapet SecureWorks over en trojaner han ikke hadde sett siden 2004: Coreflood, også kjent som AFcore.
Stewart og hans kolleger bestemte seg for å spore opp trojaneren nærmere, blant annet fordi den var blitt brukt i april 2004 til å rappe følsom informasjon fra en forretningsmann i Miami, Joe Lopez, som opplevde at 90.348 dollar ble overført fra hans bankkonto til en konto i Parex Bank i Riga i Latvia. Kontoen i Riga var så blitt tappet for rundt 20.000 dollar før den ble sperret.
Da han i våres gjenopptok arbeidet med å spore Coreflood, avslørte Stewart blant annet en server i delstaten Wisconsin, som opphavsgruppen brukte til å kontrollere og fjernstyre nærmere 400.000 zombier, og til å mellomlagre data.
Siden juni har Stewart jevnlig gjort rede for hva han har oppdaget når han har pløyd gjennom dette materialet på 50 gigabyte med komprimerte data: The Coreflood Report. Han holdt også et innlegg om saken på sikkerhetskonferansen Black Hat i Las Vegas denne uken.
Serveren i Wisconsin ble sperret, blant annet med hjelp fra Spamhaus. Den hadde vært i kontinuerlig drift siden 2005. Stewart sier at det bare tok noen dager før dens virksomhet var overtatt av enn annen server, et sted i Øst-Europa.
Coreflood er en meget diskret trojaner. Den er ikke til salgs på crackerbørsen, og den distribueres ikke utenom en engere krets. Den er blitt kontinuerlig utviklet siden 2002 og har gitt sitt opphav en kontinuerlig og sikker inntekt i seks år. Den engere kretsen bak Coreflood holder til etter alt å dømme i en by i det sørlige Russland, som Stewart ikke vil nevne.
Da Coreflood først dukket opp i 2002, brukte den IRC – Internet Relay Chat – som spredningskanal. I 2004 byttet den protokoll til http, og gikk samtidig under jorda: Den mest effektive kriminaliteten er som kjent den man legger minst merke til.
Ondsinnet kode spres gjerne gjennom infiserte nettsteder. Coreflood bruker også denne metoden, men indirekte: Gruppen starter med å infisere et populært nettsted med en enkel trojaner som infiserer alle som åpner en bestemt side, en såkalt «driveby browser exploit» som ikke er synlig for vanlige brukere. Deretter instrueres denne trojaneren til å laste ned både selve Coreflood, og et kjent og legitimt administratorprogram, PsExec.
PsExec er en del av den berømte Sysinternals-pakken til Mark Russinovich. Den inneholder også RootkitRevealer, som gjorde Russinovich kjent fordi han brukte den til å avsløre DRM-løsningen på CD-er utgitt av Sony BMG i 2005.
Poenget med PsExec er at den kan brukes til å installere programvare hos alle brukere i lokalnettet, forutsatt at man har rettigheter som domeneadministrator: Dette er det tredje trinnet i Corefloods spredningsprosess.
Den første trojaneren kan variere etter hva som er allment tilgjengelig. Selve Coreflood unnslipper oppmerksomhet fra antivirusverktøy, fordi gruppen bak er nøye med å endre den hyppig nok til at den ikke fanges opp av de fleste skannerne. Ifølge Stewart er dette svært enkelt: Undergrunnen renner nærmest over av verktøy for å manipulere kode slik at påfølgende kompilerte utgaver gir ulike virussignaturer.
Med andre ord: En domeneadministrator som rammes av en «driveby» – Stewart understreker at det kan skje hvem som helst – ender opp med å infisere alle i domenet, med en trojaner som ikke fanges opp av vanlig antivirus.
Materialet som er analysert fra serveren i Wisconsin, består blant annet av en MySQL-database som ble brukt til å spore infiserte PC-er.
Databasen viste at Coreflood-gjengen hadde infisert 378.758 PC-er, de fleste hos bedriftsbrukere, over en periode på 16 måneder. I snitt var hver infeksjon aktiv i 66 dager. Det typiske spredningsmønsteret i en infisert bedrift, var at fra flere hundre til flere tusen PC-er kunne infiseres på samme dag. Forklaringen på dette er bruken av PsExec.
Stewart gir ikke detaljer om hvilke bedrifter som er infisert. Han nevner at på ett tidspunkt hadde en «større hotellkjede» over 7000 infiserte brukere, og at kjeden over en periode på nærmere sju måneder hadde over 5000 infiserte brukere.
Hotellkjeden oppdaget til slutt at noe var galt: Coreflood-databasen viser at det tok flere uker å redusere tallet på infeksjoner til under 500, og at de aldri greide å rense alle sine PC-er.
En annen institusjon som ble infisert oppgis å være en politiorganisasjon i en delstat. Her holdt tallet på infiserte brukere seg på rundt 90 over en periode på sju måneder. Coreflood-basen viser at politiet aldri avslørte smitten: Det var de kriminelle selv som gradvis deaktiverte flere og flere av sine zombier hos lovens håndhevere.
Mange bedrifter, sykehus og universiteter ble smittet på samme måte, skriver Stewart.
Stewarts analyse av de 50 gigabytes med komprimert data som ble lagret på serveren i Wisconsin, levner ingen tvil om at Coreflood-gjengen opererte i vinnings hensikt.
Dataene består dels av informasjon fanget opp av Coreflood, dels av spor av bandens analyser og forsøk på å bruke den.
Serveren innholdt en oversikt over 463.582 brukernavn og passord til mer enn 35.000 domener. Blant disse var brukeropplysninger for 8500 bankkonti, 3200 kredittkort, 151.000 e-postkontoer, 58.400 brukerkontoer ved sosialnettsteder og 4200 kundekontoer i nettbutikker. I tillegg var det kontoer til aksjehandel, betalingssystemer, institusjoner for boliglån, finansinstitusjoner og tjenester for lønn- og personal. Også informasjonskapsler og nettbankers PKI-sertifikater ble fanget opp av Coreflood-gjengen.
Dataene var begrenset til en periode på seks måneder. Etterlatte skripter tyder på at datalageret var blitt slettet flere ganger, og at til sammen opptil 200 gigabytes med komprimerte data har vært høstet og slettet. Takten i datafangsten kan ha vært oppe i én gigabyte per zombie per dag, ukomprimert.
I tillegg til å fange opp informasjon fra selve zombiene, var – og sannsynligvis fortsatt er – Coreflood-gjengen i stand til å fange opp informasjon fra nettstedene som ofrene besøkte. Stewart fant blant annet hele kopier av flere bankers nettsteder. Det er svært nyttig for dem som vil lage «mannen i midten»-opplegg for å svindle. Det har vært hevdet, blant annet av professor Kjell Jørgen Hole ved Universitetet i Bergen og forsker ved NTNU Kristian Gjøsteen at det norske BankID-systemet er sårbar for den typen angrep.
Blant sporene etter Coreflood-gjengens egne analyser og forsøk nevner Stewart et program for automatisk pålogging til nettbank eller andre kontoer gjennom proxyservere. En gransking av programmet fant tegn på at det kan ha vært i utvikling siden 2001.
Stewart fant også materiale der Coreflood-gjengen hadde lagret 740 stjålne bankkontoer fra én og samme finansinstitusjon, og rukket å teste 79 av dem gjennom påloggingsprogrammet. Testen gikk ut på å innhente saldo, og i en oversikt er saldoen over de 79 testede kontoene behørig lagret. Den viser en samlet beholdning på over 280.000 dollar, hvorav over halvparten i én konto på nærer 150.000 dollar. Stewart tror de 740 kontoene til sammen kan ha gitt Coreflood-gjengen tilgang til over 2,5 millioner dollar.
Sporene tyder ikke på at banden er i stand til å automatisere selve pengeoverføringen. Stewart tror det fortsatt krever manuell innsats, og at saldoinnhentingen har som formål å avdekke de mest lønnsomme kontoene å prøve seg på.
Stewart opplyste på Black Hat-konferansen at amerikanske myndigheter er aktive i saken. Han sier han ikke har opplysninger om hvor engasjert russiske myndigheter er.
Imens fortsetter Coreflood sin diskrete og lønnsomme virksomhet, slik den har gjort det i seks år.
– Corefloods botnet er ikke blant de største. Men alt de trenger å gjøre for å leve rimelig bra, er å tømme en større bankkonto annenhver uke, sa Stewart på Black Hat.
Les også:
- [15.08.2008] Nederlandsk politi tok kontroll over botnett
- [16.07.2008] Fnyser av BankID-kritikk
- [27.06.2008] Ber myndighetene stanse BankID
- [05.06.2008] Professor får hat-post etter BankID-kritikk
- [25.02.2008] Mener nettbanker er sikre tross innbrudd
- [25.02.2008] Nye innbrudd i nettbanker med BankID
- [20.12.2007] EFN mener BankID gir dårlig sikkerhet
- [19.12.2007] Det er ikke BankID som er hacket