A Facebook kapcsolati portál üzemeltetőinek nemrég elege lett a hatóságok - különösen az amerikai FBI - egyes kiber-bűncselekmények ügyében tanúsított tétlenségéből, ezért úgy döntöttek, hogy egyoldalúan nyilvánosságra hozzák a 2008. július-augusztusa óta folyamatosan fertőző Koobface számítógépes féreg üzemeltetőinek személyi azonosságát. A brit Sophos infobiztonsági cég részletes magánnyomozási beszámolója szerint a víruskutatók öt szentpétervári e-bűnözőt tartanak felelősnek a gyakran erotikus videónak, hamis Flash Player médialejátszó-frissítésnek álcázott Koobface kártevő pusztításáért.
A vírusírók a magukat "Ali Baba és a négy rabló" néven jegyző csoport tagjai:
- Alexander Koltysehv, avagy MegaFloppy
- Anton Korotchenko, avagy KrotReal
- Roman Koturbach, avagy PoMuc
- Svyatoslav E. Polichuck, avagy PsViat / PsycoMan és a főnök
- Stanislav „leDed” Avdeyko
A Koobface-csapat vezetője 1963-as születésű, és már 2003-ban kapcsolatba került az e-bűnőzéssel a CoolWebSearch kémprogram kapcsán. Ezért és társainál jóval idősebb életkora miatt ő lehet "Ali Baba".
Moulin Rouge-tól a Rogueware-ig
A listán szereplő programozók, rendszergazdák korábban főként felnőtt témájú weblapok üzemeltetésével foglalkoztak. A fiatalemberek az ott tanultakat, az úgynevezett affiliate partner hirdetői programok nyereséges üzemeltetését, a szexuális témák kattintás-növelő hatását, a net-mobiltelefon integráció ismereteit felhasználva váltottak át a kártevő-terjesztésre - tehát nem elsősorban hacker-cracker háttérrel érkeztek a kiberbűnözés világába.
A rossz útra tért orosz informatikusok mégis több, a Koobface féreg C&C vezérlő-szervereit leállító kísérlet ellenére sokáig növelni tudták botnetjük kiterjedését: a Kaspersky cég becslései szerint 2010-ben, a csúcson mintegy 400-800 ezer fertőzött gépet tarthattak uralmuk alatt. Az áldozatok nem is sejtették, hogy a gépeiket távirányítással hamis hirdetések terjesztésére és a webes reklám-kattintások számának szabálytalan manipulálására használta az e-bűnbanda.
Azt viszont a legtöbben észrevették, amikor a féreg üzemmódot váltott és új ártalmas modulként ál antivírus (rogue scareware) programok ajánlásait jelenítette meg a képernyőn. Sokan sajnos vásároltak is a neten a haszontalan, de drága termékből, így a Koobface-vállalkozás komoly illegális profitot termelt. A tevékenységhez illően MobSoft-nak elnevezett cég irodája az amerikai IT-vállalkozásokra jellemző feltűnő, divatos bútorokkal és Apple Mac gépparkkal volt berendezve.
Nők, kocsik, kaszinók
Ali Baba és a négy rabló másban is kitűntek a nyugati országok hatóságai számára ritkán elérhető, korábban politikai támogatást élvező szentpétervári kiberbűnözők közül. Magánemberként látványos életvitelt folytattak, drága utazások során, Balin, Monte Carlo-ban és most, a hónap elején Törökországban szórták az internetezők megfertőzésével keresett, évente legalább kétmillió dollárnyi pénzt - sőt már 2008-ban futotta nekik egzotikus búvár-kalandokra, de külföldön sem került bilincs a kezükre!
Mindez rendkívül frusztráló az információbiztonsági kutatók számára, akik sok időt és energiát fordítottak arra, hogy a Vkontakte és más kapcsolati portálokon, üzleti névjegyzékekben próbálják indirekt nyomok, például BMW-mánia, macska-rajongás alapján névvel és fényképpel azonosítani a kiberbűnözőket. A szociális háló ilyen felgöngyölítése meglepő sikerrel járt, amiben jelentős része volt két bandatag feleségének, akik túl sok fotót és információt tettek fel ismerőseikről az internetre.
Mások, mint a német Jan Droemer a Koobface-botnet úgynevezett C&C központi vezérlő szervereit próbálgatták akár hónapokig, így sikerült jelszó nélküli hozzáférési lehetőségeket találniuk, amelyeket a figyelmetlenül dolgozó MobSoft-tagok felejtettek a konfigurációban. Ez az áttörés a banda mobil hívószámait is megmutatta a Sophos víruselemzőinek - a bűnözőket ugyanis annyira érdekelte a profit, hogy naponta SMS-ben lekérdezték a szerverről az aktuális fertőzési statisztikákat.
Nem lettek túl gonoszak, ezért élveztek bántatlanságot?
A történet érdekessége, hogy a Koobface-tagokról kiderült, inkább tapasztalt és jó üzleti érzékű társasági lények, semmint magasan képzett hackerek. Herr Droemer szerint az e-bűnözők akár sokkal több pénzt is zsákmányolhattak volna a féreg segítségével - egyrészt még több gép megfertőzésével, másrészt ha ráállnak a személyes adatok ellopására és az adatokkal visszaélve csalásokat követnek el.
Ali baba és társai azonban nem vetemedtek ilyesmire - ezt 2009. karácsonyán egy képeslapon meg is ígértek a víruskutatóknak, remélve, hogy enyhébb elbánásban részesülnek a hatóságok és a biztonsági ipar részéről. Az első címzetti kör, főleg az amerikai FBI nyomozó ügynökség eddig tényleg passzívan állt a Koobface jelentette problémához, sőt a Facebook is csak 2011 márciusában indított átfogó támadást a féreg végleges kitakarítása érdekében.
Az infobiztonsági kutatók, mint Jan Droemer vagy Dancho Danchev most azt remélik, hogy a nyilvános megnevezés, megszégyenítés hatására Ali baba orosz bandája végleg feladja a küzdelmet és kisebb szociális szájtokon sem próbálják tovább terjeszteni a Koobface féreg-változatokat - talán véget vetve ezzel egy 3,5 éve tartó kiberbűnözési sikertörténetnek.
