Cine te urmăreşte?

John-Paul Power

Unii oameni lipesc o bucată de autocolant pe webcam-ul laptopului, poate şi tu ar trebui să o faci. Or fi prea circumspecţi, paranoici, un un pic ciudaţi? Tu eşti? Sau există  un alt motiv în spatele acestei nebunii? Mulţi dintre noi au auzit poveşti despre oameni spionaţi în timp ce foloseau propriile computere sau oameni şantajaţi folosind montaje video jenante sau incriminante, înregistrate fără ca ei să ştie, de pe webcam-uri compromise.

Sunt aceste poveşti adevărate, iar oamenii aceştia ce par paranoici sunt îndreptăţiţi să fie circumspecţi? Din păcate, răspunsul este da, precauţia împotriva acestui tip de activităţi este necesară şi există o multitudine de programe ce pot fi folosite pentru acest tip de activitate maliţioasă…  şi nu numai. Troienii ce pot fi accesaţi de la distanţă (Remote access Trojans – RAT), sau ceea ce noi numim creepware, sunt programe ce se instalează fără ca victima să ştie şi permit unui atacator să aibă acces şi control de la distanţă asupra computerului compromis.

În acest articol, intenţionăm să oferim o privire de ansamblu asupra creepware, descriind aceste ameninţări şi ce pot ele face, respectiv ce s-a făcut cu ele şi care sunt implicaţiile atât în ceea ce le priveşte pe victime, cât şi pe utilizatorii de creepware. Totodată, încercăm să oferim o privire asupra economiei din spatele creepware, examinând piaţa neagră ce se ocupă cu tot ce înseamnă vânzare de software şi tranzacţii cu victimele. Nu în ultimul rând, vom arunca o privire asupra modului în care creepware-ul se răspândeşte şi cum ne protejăm împotriva lui.

Ce este, mai exact, creepware?

Acronimul RAT este unul dintre cele mai folosite atunci când vorbim despre un software ce permite cuiva să controleze de la distanţă un computer. RAT poate fi o abreviere pentru următoarele:

• Remote Access/Administration Tool
• Remote Access/Administration Trojan

Singura diferenţă dintre “remote access tools” şi “remote access Trojans” este aceea că cel din urmă e instalat în mod clandestin, cu scopul intenţionat de a face rău. Există multe unelte de acces de la distanţă, folosite pentru motive legitime, precum suportul tehnic sau conectarea la un computer de acasă sau de la serviciu în timpul călătoriilor etc. Din păcate, aceleaşi funcţii folositoare din aceste unelte pot fi folosite pentru activităţi maliţioase, şi o mare parte din malware a fost proiectat exact pentru asta. Aceste programe se numeste “remote access trojans”, nişte “cai troiani” pentru accesare de la distanţă. Odată ce aceşti trojani sunt instalaţi pe computerul unei victime, pot permite atacatorului să deţină control aproape complet asupra acestuia. Prezenţa unui trojan este insesizabilă, iar un atacator poate face aproape orice poate face utilizatorul aşezat fizic în faţa computerului, inclusiv să înregistreze video folosind webcam-ul. Cazuri recente foarte vizibile de astfel de comportament înfiorător şi dezgustător au făcut ca aceşti trojani pentru acces de la distanţă să fie numiţi creepware.

Creepware foloseşte un mode client-server, dar manevrează dinamica obişnuită, pe care o cunoaştem, atunci când discutăm despre un sistem client-server obişnuit. Creepware modifică acest proces şi transformă computerul victimă într-un server, iar computerul atacatorului devine client. Odată ce computerul victimei e compromis cu creepware, un atacator poate trimite cereri de copiere de fişiere şi poate transforma computerul-server în gazda unei întregi serii de acţiuni nu tocmai ortodoxe.

De ce e aşa de important?

Deşi a existat o perioadă în care folosirea de creepware era relativ rară, din păcate, acum a devenit mult mai comună. Utilizatorii de creepware pot face parte din rândul celor ce fac bani din extorcare şi fraudă până la cei ce folosesc acest tip de software pentru ceea ce lor li se pare distracţie sau farse inofensive, altfel spus, trolling. Deşi ambele activităţi pot părea unor drept foarte diferite, ambele implică acces neautorizat la computere, ceea ce nu e doar greşit din punct de vedere moral, ci şi ilegal, o infracţiune serioasă.

E îngrijorător că aspectul moral nu pare a fi foarte sus pe lista caracteristicilor utilizatorilor de creepware, un fapt ce este ostentativ de evident atunci când examinezi cu atenţie multe forumuri online cu secţiuni dedicate creepware-ului.

Imaginea 1. Pentru distracţie

 

Imaginea 2. Şantajarea victimelor

Deşi mulţi utilizatori ai acestor forumuri par să  nu dispună de vreo busolă morală, alţii au o viziune extrem de oblică asupra aceea ce e bine sau rău. Într-una dintre discuţii, un utilizator justifică folosirea RAT (cu creepware) în faţa celorlalţi spunând că e doar vina lor că au descărcat şi instalat programe din surse ce nu prezintă vreun grad de încredere.

 

Imaginea 3. Învinovăţirea victimei

Alt utilizator al forumului crede că dacă  tot ce faci este să urmăreşti victima, fără ca ea să  ştie, atunci nu e nici o problemă.

Imaginea 4. Explicând invadarea intimităţii

Căutân prin nenumărate postări despre creepware/remote access Trojans, poate părea că există o nesfârşită sursă de utilizatori ce caută ajutor pentru a instala astfel de software şi pentru a se apuca de “RATing”. Deşi există unii care se simt oarecum vinovaţi (deşi într-o măsură foarte mică) din cauza a ceea ce fac, majoritatea covârşitoare nu vede nimic rău în a invada intimitatea victimelor şi, în unele cazuri, atragerea de foloase materiale de pe urma lor. Într-un şir de postări intitulat “Etica jocului cu oamenii”, un utilizator îşi întreabă colegii hackeri dacă ei cred că e bine ce fac.

 

Imaginea 5. Dilemă morală

Răspunsurile vorbesc de la sine.

 

Imaginea 6. Moral bull****

Din nefericire, utilizatorii de creepware nu văd sau nu le pasă de prejudiciile pe care le pot cauza. Există  nenumărate cazuri în care oameni nevinovaţi au căzut pradă  creepware-ului şi au rămas traumatizaţi de atacatori sau chiar mai rău. Unul dintre modurile în care utilizatorii de creepware îşi monetizează activităţile este numit “sextortion,” o formă de exploatare ce implică forme non-fizice de constrângere a victimelor şi de a cere favoruri sexuale de la victime.

În August 2013, Miss Teen USA, adolescenta de 19 ani Cassidy Wolf a devenit o victimă a creepware-ului. Un coleg de liceu i-a spart computerul folosind creepware pentru a-i face fotografii în timp ce se dezbrăca în propriul ei dormitor, apoi a ncercat să o şantejeze, ameninţând că va publica pe internet pozele dacă ea nu-i va trimite unele şi mai explicite. Însă Cassidy Wolf s-a adresat poliţiei. Hackerul a fost, într-un final, prins şi a pledat vinovat la acuzaţiile de spargere a computerelor a cel puţin 24 de femei din mai multe ţări.

Alt caz foarte mediatizat a implicat un atacator ce folosea creepware pentru a afişa mesaje de avertisment pe computerele victimelor, prin care le spuneau că senzorul webcam-ului trebuie curăţat. Ca să-l cureţe, li se expica faptul că tot ce trebuie să facă este să ţină computerul aproape de abur. Mai multe femei au fost, prin urmare, înregistrate în timp ce făceau duş sau când duceau computerul în baie.

Din păcate, aceste cazuri sunt doar vârful aisbergului când vine vorba de creepware şi de impactul pe care-l poate avea asupra victimelor. Din cauză că multe victime nu raportează  incidentele, acest tip de infractori scapă, de cele mai multe ori, de justiţie. Atacatorii pot ameninţa că publică pe internet conţinutul furat sau înregistrat, iar dacă această ameninţare este pusă în practică, reputaţia victimei poate fi distrusă  permanent. Efectele acestui tip de hărţuire şi de intimidare cibernetică au, în general, efecte pe termen lung şi pot conduce chiar la sinucidere. Creepware-ul, s-ar părea, este unealta ideală de intimidare cibernetică.

Creepware şi RAT reprezintă o problemă globală din cauză că sunt folosite peste tot în lume, mai ales pentru motive greşite.

Imaginea 7. Top 5 ţări pentru activităţi RAT, în ultimele şase luni

Ce poate face creepware-ul?

Ce face, mai exact, creepware-ul? Există o abundenţă de astfel de programe pe piaţă, de la Blackshades (W32.Shadesrat), DarkComet (Backdoor.Breut), Poison Ivy (Backdoor.Darkmoon), şi jRAT (Backdoor.Jeetrat), doar ca să numim câteva, multe dintre ele având în comun acelaşi set de funcţionalităţi de bază. Ne vom concentra atenţia pe Pandora RAT, detectat de Symantec sub numele Trojan.Pandorat.

Pandora RAT permite unui atacator să aibă acces la următoarele elemente de pe un computer compromis:

• Fişiere
• Procese
• Servicii
• Clipboard
• Conexiuni de reţea active
• Regiştri
• Imprimante

Ca şi când nu ar fi de ajuns, Pandora poate să-i permită unui atacator următoarele:

• Controlul de la distanţă a desktop-ului comprimis
• Să facă screenshots
• Să înregistreze video folosind webcam-ul
• Să înregistreze audio
• Să înregistreze ce scrie utilizatorul folosind tastatura
• Furtul parolelor
• Descărcarea de fişiere
• Deschiderea de ferestre în browserul de internet şi accesarea de site-uri
• Afişarea de mesaje pe ecran
• Rularea de mesaje audio folosind funcţia text-to-speech
• Restartarea computerului compromis
• Ascunderea taskbar-ului
• Ascunderea iconiţelor de pe desktop
• Cauzarea de erori de sistem / “blue screen of death”

Uşurinţa de folosire şi interfaţa grafică  (GUI) elegantă sunt factori foarte importanţi în lumea de astăzi, foarte orientată pe design, iar creepware-ul nu face excepţie. Pandora, la fel ca în cazul altor RAT, dispune de o interfaţă uşor de folosit, ce poate fi folosită la nivel de maestru aproape instantaneu, atât de către experţi, cât şi de către novici. Dacă utilizarea creepware-ului obişnuia să fie, în trecut, rezervată hackerilor blackhat cu multă experienţă, acum este de departe extrem de accesibilă tuturor, de la aşa-numiţii script-kiddies (persoane cu ceva cunoştinţe, dar sub nivelul hackerilor cu experienţă) la utilizatori fără nici o urmă de experienţă.

Imaginea 8. Interfaţa de utilizator prietenoasă a Pandora RAT

Creepware-ul poate fi utilizat în multe moduri foarte diferite, inclusiv:

• Voyeurism

Atacatorii folosesc webcam-ul victimei şi/sau microfonul încorporat al computerului pentru a le înregistra în secret.

• Furt de informaţii/fişiere

Informaţii precum datele bancare sau parole şi fişiere precum fotografii şi clipuri video pot fi copiate sau şterse.

• Şantaj/extorcare

Imagini foto sau video furate din computer sau înregistrate folosind webcam-ul sunt folosite pentru a forţa victima să pozeze explicit pentru alte fotografii sau înregistrări video, inclusiv în timpul unor acte sexuale, dar şi pentru constrângerea vinctimei pentru a plăti.

• Trolling

Atacatorii folosesc creepware pentru a induce computerului un comportament ciudat, prin deschiderea de site-uri pornografice sau şocante, afişarea de mesaje abuzive sau, uneori, cauzarea de erori de sistem doar pentru propriul lor amuzament.

• Folosirea computerelor pentru atacuri de tip DDoS etc.

Computerele compromise pot fi folosite în atacuri de tip DDoS (distributed denial of service) bitcoin mining sau pentru alte funcţii ce aduc beneficii atacatorului ce se foloseşte de resursele victimelor.

Economia bazată pe creepware

Creepware este o afacere foarte mare în economia subterană, cu o piaţă vibrantă ce se învârte în jurul vânzărilor de software. Creepware-ul în sine poate fi cumpărat direct de pe site-urile dezvoltatorilor sau de la oameni ce le fac publicitate pe forumurile de hacking. Reclame precum cele la vânzări de FUD crypters, JDB generators, sau “slaves” printre altele, pot fi găsite pe aceste tipuri de forumuri. Dacă vi se pare că terminologia este un pic sălbatică, iată câteva definiţii utile:

• FUD – Fully undetectable (complet nedetectabil – de către serviciile de securitate precum antiviruşi)
• Crypter – O unealtă de rearanjare a fişierelor într-un mod în care biţii sunt amestecaţi, făcând dificilă detectarea
• JDB – Java drive-by – Implică un applet Java plasat pe un site; atunci când utilizatorul vizitează site-ul, îi apare un pop-up ce îi cere permisiunea care, odată acordată, descarcă creepware-ul.
• Slave – “Sclav”; un computer ce a fost infectat cu creepware

Dacă toate acestea par un pic prea multă  muncă, oricine interesat să deţină propria configuraţie de creepware poate plăti un număr mare de “experţi” doritori să muncească în locul lor. Preţurile variază în funcţie de servicii. Creepware/RAT poate fi găsit şi gratuit, dar cele ce sunt de vânzare pot costa până la 250 de dolari. Serviciile adăugate, precum FUD crypting şi instalare costă între 20 şi 50 de dolari. La fel ca în cazul mutora dintre lucrurile din ziua de astăzi, sfaturile gratuite şi instrucţiunile pot fi găsite online alături de o multitudine de utilizatori ce abia aşteaptă să-şi  împărtăşească cunoştinţele despre cele mai bune unelte, trucuri şi metode legate de creepware.

Ce pot face utilizatorii pentru a se proteja?

Următoarele metode pot fi folosite pentru a infecta computerele cu creepware:

• Drive-by downloads – Vizitând un site, utilizatorul descarcă creepware fără să ştie, pe propriul computer
• Link-uri maliţioase – Link-urile maliţioase, ce directează către site-uri ce găzduiesc “drive-by downloads”, sunt distribuite folosind social media, camere de chat, forumuri, e-mail spam etc. Atacatorul poate, de asemenea, să intre în conturile utilizatorilor şi să facă să pară că link-ul este trimis de un prieten. Alţii pot încerca să-şi atragă victimele publicând mesaje incitante.
• Exploit kits – Victimele potenţiale pot vizita site-uri compromise sau pot da click pe link-uri maliţioase, fiind redirectaţi către servere pe care rulează un exploit kit, unde un script rulează şi determină ce tip de exploit să fie folosit. Dacă exploitul este viabil, victima este infectată cu creepware, iar atacatorul este notificat.
• Peer-to-peer file-sharing/torrents – Softul de instalare a creepware-ului de tip “server” este “împachetat” într-un fişier, de regulă program popular sau un crack pentru un joc, şi distribuit pe un site de file-sharing. Odată executat fişierul, modulul server al creepware-ului este instalat.

Pentru a rămâne protejaţi împotriva creepware, Symantec recomandă utilizatorilor să:

• Actualizeze definiţiile antivirusului, sistemele de operare şi software-ul instalat.
• Evite să deschidă e-mail-uri de la expeditori necunoscuţi şi să nu descarce sau să dea click pe ataşamente de e-mail dubioase.
• Să fie prevăzători atunci când dau click pe link-uri trimise pe mail, mesagerie instantă sau în reţele sociale.
• Să descarce doar fişiere din surse legitime şi de încredere.
• Să fi suspicioşi la orice activitate neaşteptată a webcam-ului. Când nu foloseşti webcam-ul, ţine declanşatorul închis; dacă webcam-ul nu are declanşator, acoperă-l cu o bucată de autocolant atunci când nu-l foloseşti.

În lumea de astăzi, computerele joacă un rol important în vieţile noastre, iar ideea că astfel de unelte omniprezente pot fi folosite de un atacator ca să-ţi invadeze intimitatea este un gând înfiorător. În timp ce creepware-ul este capabil să cauzeze distrugeri semnificative, luarea măsurilor defensive potrivite, pas cu pas, te poate ţine protejat. Având un software de securitate bun, cu actualizări la timp, şi urmând câteva dintre cele mai bune practici de bază, cu toţii putem ţine ciudaţii în afara computerelor noastre.