Sunday, January 22, 2012

Istraga bande iza Koobeface zloćudnog koda...

This is Croatian translation of text published here. I tried to preserve original content and meaning as much as possible. I recommend that if you know English read the original version.

Ovo je prijevod teksta objavljenog na ovoj stranici. Preporučam da prije čitanja ovog teksta pogledate informacije o samom prijevodu.

Uvod: ne postoji savršen kiberzločin

Koobface botnet - proizvod samoproglašene grupe "Ali Baba & 4", odnosno, "Koobface banda" - neprestano terorizira milijune Internet korisnika još od sredine 2008. godine, bez obzira na višestruke pokušaje njegova gašenja.

Istraživanje opisano u nastavku, koje su proveli nezavisni istražitelji Jan Drömeri i Dirk Kollberg, pripadnici SophosLabsa, usredotočeno je na osumnjičene koji se kriju iza jedne od najvećih kiberkriminalnih prijetnji zadnjih godina te na proces njihove identifikacije.

Istraživanje je većim dijelom provedeno od početka listopada 2009. godine do veljače 2010. godine i od tada je dano na raspolaganje različitim međunarodnim agencijama za provedbu zakona (engl. law enforcement agency).


Baš kao i u stvarnom svijetu, savršeni kiberkriminal je mit. Činjenica je da se u današnjem kiberkrimalnom miljeu želi postići maksimalna dobit s minimalnim investicijama, i to za sobom povlači svjesno prihvaćanje određene doze nesavršenosti.

Dakle, ta nesavršenost uz aroganciju kriminalaca (and an uncontrollable threat environment such as the internet) je u konačnici dovela do identifikacije više osumnjičenih koji čine Koobface bandu.

Koobface banda čini prvu grešku, pa onda drugu...

Sa svakim kiberkriminalnim napadom dolazi velika količina tehničkih informacija kao što su IP adrese, imena domena i slično koje stoje na raspolaganju kao početna točka istrage.

U tom smislu ni istraga Koobefacea nije bila ništa drugačija i nakon identifikacije jednog upravljačkog poslužitelja (engl. Command & Control (C&C) server) koji se je koristio za upravljanje napadima pronađena je prva greška koju je ta banda napravila.

Naime, ispostavilo se kako Apache Web poslužitelj na jednom od identificiranih aktivnih upravljačkih poslužitelja (captchastop.com, 67.212.69.230) ima aktiviran mod_status modul. Kada je omogućen taj modul, bilo kojem posjetitelju omogućeno je praćenje zahtjeva postavljenih poslužitelju i to u stvarnom vremenu, te se na taj način otkrivaju imena datoteka i direktorija koji se nalaze na tom poslužitelju.

Iako su ovu grešku kriminalci uočili i ispravili pred kraj listopada 2009. godine, samo par dana kasnije banda je napravila drugu grešku instalacijom Webalizer statističkog alata kojemu se moglo pristupiti bez ikakvih ograničenja. Na taj način omogućen je još bolji uvid u rad upravljačkog poslužitelja.


Najveći napredak u istrazi ostvaren je početkom prosinca 2009. godine kada je statistički alat Webalizer pokazao neobičan zahtjev za datotekom pod imenom "last.tar.bz2", za koju se nakon dodatnog istraživanja ispostavilo kako se radi o punoj dnevnoj pričuvnoj kopiji (engl. backup) izvornog koda upravljačkog poslužitelja. Tijekom istrage slične pričuvne kopije pronađene su i na drugim upravljačkim poslužiteljima. Te pričuvne kopije omogućavaju detaljnu tehničku analizu sustava, ali su prvenstveno korištene kako bi se dobila potpuna slika o Koobface botnetu, kao i bilo kakve informacije koje bi pomogle u identifikaciji aktera u pozadini cijelog sustava (korisnička imena, komentari u izvornom kodu, log datoteke koje sadrže IP adrese, itd.) .

To je istragu dovelo do različitih imena domena i IP adresa od kojih se je jedan poslužitelj posebno isticao.

Taj "Koobface matični poslužitelj" (engl. Koobface mothership) nalazi se na IP adresi 78.108.178.44 koja pripada UPL Telekomu u Pragu (Češka Republika) a koristi se za pohranu različitih statistika te nadzor svih drugih poslužitelja za nadzor i njihovo obnavljanje u slučaju da postanu neraspoloživi.

Dvije pronađene domene (babkiup.com i service.incall.ru) su se također nalazile na tom matičnom poslužitelju. I dok je incall.ru izgledala kao legitimna VoIP usluga, babkiup.com je sadržavao opis usluge koja se nudi zainteresiranim posjetiteljima te koja je dobro odgovarala ponašanju Koobface botneta, uključivši i kratku sekciju s pitanjima i odgovorima, te ICQ kontakt dvije osobe pod nadimcima "PoMuC" i "LeDed".

Nazad na pričuvne kopije. Vjerojatno najzanimljivija informacija pronađena je u PHP skripti koja je služila za slanje dnevne statistike zarade putem SMS-a na pet mobilnih telefona. Međunarodni prefiks +7 označava da su to telefonski brojevi koji se nalaze u Rusiji.


Primjetite kako je jedan od brojeva iskomentiran te ne prima izvještaje, što znači da taj član bande ili nije zainteresiran za tu informaciju ili je napustio bandu.


Nadimak "LeDed", označen kao jedan od kontakata na "babkiup.com" Web stranicama ponovno se pojavljuje kao Unix korisničko ime unutar skripte koja se koristi za obnavljanje nedostupnih upravljačkih poslužitelja. Posebno je potrebno istaknuti kako se unutar te skripte "LeDed" spominje u Unix naredbi chown.


"Krotreal" je drugi nadimak koji se može pronaći unutar skripte pod imenom "gen_service.php". Okolnosti sugeriraju kako je komentar unutar koda skripte napisao sam "Krotreal", implicirajući da ta osoba ima pristup izvornom kodu PHP skripti koje čine upravljački sustav Kobeface botneta.

Dodatno, pronađena je i slika pod imenom "IMG_0121.JPG" unutar jedne pričuvne kopije. Ta slika nije u nikakvoj vezi s funkcijom Koobface botneta ali mogao ju je staviti neki član Koobface bande.


Na temelju Exif zapisa koji se je nalazio unutar te slike, otkriveno je da je snimljena korištenjem Apple iPhone uređaja 15. rujna 2009 godine na zemljopisnoj širini N 59° 55.66' i duljini E 30° 22.11'. Te koordinate direktno pokazuju na centar Petrograda u Rusiji.

Iako ta informacija ne mora biti dovoljno precizna da identificira točno određenu adresu, ona ipak ide u prilog ranije pretpostavke kako su glavni akteri smješteni u Rusiji te da se jedan ili više njih nalazi u području Petrograda.

Ipak, bitno je istaknuti kako su ova opažanja špekulacije budući da slika ne mora nužno biti povezana s akterima Koobaface botneta.

Sljedeća slika prikazuje do sada prikupljene informacije korištenjem pričuvnih kopija Koobface botneta te informacija s Web stranica.


O autima i mačićima...

Svaka daljnja istraga očito ide od telefonskih brojeva budući da je vrlo vjerojatno kako će oni odvesti do identiteta potencijalnih osumnjičenih. Različiti zapisi telefonskih brojeva su korišteni kao nizovi za pretraživanje na tražiliciama, a također je pregledan i telefonski imenik Petrograda dostupan putem Interneta.

Jedan broj pronađen je na stranicama za prodaju automobila na kojima je jedna osoba 2008. godine prodavala BMW serije 3 čije su registarske oznake imale niz "H<prikriveno>98".


Isti telefonski broj korišten je i u jednom postu na nekom forumu u rujnu 2007. godine, ovaj puta oglašavajući prodaju mačića. U ovom slučaju daleko je bitnija adresa elektroničke pošte "Krotreal@<prikriveno>.com" kao i navedeno ime za kontakt: Anton.


Budući da je istraga telefonskih brojeva došla do mrtve točke kao sljedeći najvjerojatniji izvor informacija identificrani su nadimci. ("Krotreal", "LeDed", "PoMuC").

"Krotreal" - ili što se krije u nadimku?

Baš kao što su ime i prezime ključ identiteta osobe u stvarnom životu, tako i nadimci imaju istu funkciju na mreži. Jednom odabrani obično se nadimci koriste cijeli život a također imaju pridruženo određeno povjerenje i reputaciju. To je posebno značajno u podzemnoj ekomoniji (engl. underground economy) gdje nitko ne koristi pravi identitet u komunikaciji ali gdje postoji potreba da se razluči tko nudi pouzdane kriminalne usluge od onih koji su nepouzdani.

Iako neki kriminalci koriste više nadimaka ili njihovih varijacija, često su prisiljeni do određene mjere ostati prepoznatljivi unutar kiberkriminalnog miljea.

Neko bi mogao pomisliti kako će kiberkriminalci počistiti sve svoje profile, ali to često nije slučaj. Nekoliko je razloga za to, a najjednostavniji je primjerice da se lako zaboravljaju stari profili ili jednostavno podaci na nekom profilu postanu javno dostupni zbog promjene u uvjetima korištenja stranica na kojima se nalaze.


Identifikacija takvih profila na različitim društvenim mrežama i Web 2.0 web stranicama je jednostavna zahvaljujući tražilicama ili uslugama kao što su namechk.com ili knowem.com. Navedene Web stranice namjenjene su korisnicima prilikokm odabira jedinstvenog nadimka koji ne koriste drugi i zbog toga one označavaju sve usluge na kojima se traženi nadimak upotrebljava.

To se također može koristiti i za potrebe identifikacije profila koji sadrže dodatne informacije. Ipak, treba biti oprezan budući da profili pronađeni na temelju nadimaka mogu pripadati drugim pojedincima, a mogu biti i lažirani.

U slučaju nadimaka "Krotreal" identificirani su profili na Flickr, Netlog, LiveJournal stranicama i kasnije, tijekom istrage, na vkontakte.ru, YouTube, FourSquare, Twitter, itd.

To naknadno otkriće ukazuje na važnost opetovane pretrage u periodu nekoliko tjedana.


Svi ovi profili istraživani su kako bi se otkrile informacije koje bi dovele do pravog identiteta osobe "Krotreal". Na profilima se stalno iznova pojavljivalo ime Anton, različite adrese elektorničke pošte, hobiji, reference na Petrograd i ICQ broj.

Neki od navedenih profila sadržavali su slike osobe "Krotreal" pružajući na taj način još jednu vezu između različitih profila, slično kao avatari koji se ponavljaju na različitim profilima.

Prava pristupa individualnim profilima u općem slučaju varira. Grupe fotografija na Flickr-u, primjerice, nisu javno dostupne. No bez obzira, u općem slučaju je preporučljivo obaviti prilagođene pretrage profila korištenjem različitih tražilica budući da se na njima mogu pojaviti pohranjene kopije ili linkovi koji pokazuju na pojedine informacije na profilu koje inače nisu dostupne, kao što je slučaj s Flickr. Na jednoj slici koja se pojavila tijekom pretraga prikazan je auto s registarskim tablicama istim kao i već spominjani BWM 3 i natpisom "Moj ljepotan :)" (engl. My litte beauty :)).


Slike mogu sadržavati bitne informacije, primjerice u uvom slučaju registarska tablica je bila unutar plastičnog okvira koji je sadržavao ime i broj Njemačkog prodavača automobila, a koji bi se mogao koristiti kako bi se otkrio vlasnički lanac automobila od prodavača do njegovog trenutnog vlasnika.

Druga fotografija na Flickr profilu pokazuje ga kako drži Sfinks mačku, što je dodatna poveznica prema identitetu "Krotreal" na forumu za mačiće o kojemu je već raspravljano.


I dok većina profila sadrži slične informacije, jedan od profila je od dodatnog značenja jer referencira Web stranice "www.<prikriveno>.ru" kao vlasništvo korisnika "Krotreal" (with the same holding true for his ICQ account.).


To su stranice za odrasle. Iznenađujuće je da Whois podaci o web stranicama nisu prikriveni i navode Antona K. s brojem telefona iz Petrograda kao vlasnika. Pa ipak, s obzirom na netočnosti u Whois bazama te informacije treba uzeti s određenom dozom rezerve.

Upitom Whois baze za domenom verybest.org, koja služi kao imenički servis za domenu www.<prikriveno>.ru, otkriva još jednu adresu elektroničke pošte ("Krotreal@mobsoft.com") indicirajući da je korisnik "Krotreal" na neki način povezan s tom tvrtkom.
NAPOMENA: Kasnije tijekom istrage domena www.<prikriveno>.ru prebačena je na IP adresu Koobface matičnog poslužitelja - 78.108.178.44.
Naravno, posebno su zanimljive društvene mreže kao što je Facebook ili vkontakte.ru budući da one omogućavaju identifikaciju članova obitelji, prijatelja i kolega u slučaju da su profili javno dostupni.

Profil "Krotreal" je inicijalno bio jako restriktivan i omogućavao je pristup samo prijateljima. Ta se situacija promijenila tijekom vremena, što je opet podsjetnik istražiteljima da iznova provjeravaju takve profile s vremena na vrijeme.


Iako inicijalno profil nije bio dostupan, "Krotreal" je postao linkove na fotografije unutar svog profila na Twitteru i tako im omogućio javni pristup.


Iako su slike zanimljive same po sebi jer otkrivaju primjerice putovanja i slične stvari, puno zanimljiviji su komentari koje ostavljaju korisnici portala vkontakte.ru

Uzimajući u obzirom i činjenicu da je pristup profilu ograničen na takav način da samo prijatelji imaju puni pristup ti komentari su posebno korisni kako bi se odredili društveni kontakti i na taj način otkrili drugi akteri iza Koobface botneta, pod pretpostavkom da se međusobno poznaju te da su vjerojatno povezani putem društvenih mreža.

Nažalost, takve reference nije bilo moguće naći, međutim jedan komentar koji je ostavila Olesya L. je od posebnog značaja zbog činjenice da ona ima puno otvoreniji profili na vkontakte.ru s nekoliko potpuno otvorenih foto albuma. Daljna analiza tih fotografija otkrila je Antona K. i Olesya L. zajedno u nekoliko prilika, sugerirajući da su oni par.

Iako je bilo moguće detaljnije istraživati društvene kontakte "Krotrala", nije bilo dodatnih dokaza koji bi mogli potvrditi njegov identitet. Bez obzira na dosadašnje sugestije kako je "Krotreal" u stvari Anton K. potrebni su dodatni dokazi kako bi se potvrdila ta veza.


Pribavljanje dokaza identiteta je težak posao s obzirom da se profili, Whois podaci i slično mogu lažirati. Srećom, jedna od otkrivenih adresa elektroničke pošte sugerira kako je Anton K. povezan ili je bio povezan s tvrtkom MobSoft kao suradnik, zaposlenik ili možda čak vlasnik.

Unutar tvrtke Koobface

Kriminalna grupa Koobface iznajmila je urede na najvišem katu ove zgrade u Petrogradu. Međutim, treba uzeti u obzir kako se u toj zgradi nalaze i druge tvrtke koje nemaju ništa s kiberkriminalom.
Tvrtke su zanimljiva tema istraživanja s obzirom da one obično moraju biti registrirane u državnim institucijama ili poreznim uredima i potpadaju pod legislativu koja zahtjeva izradu različitih izvještaja i slično. Dodatno, tvrtke obično imaju javne Web stranice na kojima se nalaze informacije o njihovoj povijesti, bivšoj i sadašnjoj upravi ili izjave zaposlenika na stranicama na kojima se traže zaposleni.

U slučajevima kada se sumnja kako je osumnjičeni vlasnik ili dioničar neke tvrtke postoji vjerojatnost da će se moći dobaviti podaci o identitetu te osobe budući da u procesu registracije tvrtki treba pokazati odgovarajuće važeći dokumenti.

Iako zaposlenici i vlasnici tvrtke mogu biti uključeni u maliciozne aktivnosti to ne znači automatski da je i cijela tvrtka uključena.

Istraga MobSoft tvrtke došla je međutim do brzog kraja jer domena mobsoft.com više nije pokazivala na korporativni Web. Pretraga tražilica također nije dala nikakve rezultate, a čak je i dodatno komplicirala stvari budući da su se pojavljivale i druge tvrtke te različiti entiteti istog imena MobSoft.

Ipak, jedan preostali trag je bila napomena o Copyright-u postavljena na Web stranicama incall.ru koji tvrdi da je usluga razvijena suradnjom između UPL Telcom s.r.o i MobSoft Ltd., pri čemu MobSoft Ltd. pokazuje na Web stranice mobsoft.eu.


UPL Telcom s.r.o je Češka kompanija koja je direktno ili indirektno pružala usluge hostanja Koobface matičnog poslužitelja.

Pregledom stranice www.mobsoft.eu, utvrđeno je da se MobSoft Ltd. predstavlja kao tvrtka specijalizirana za razvoj programske podrške i distribuciju mobilnih aplikacija i usluga. Prema informacijama na Webu, tvrtka je smještena na dvije lokacije, jedna u Češkoj republici, a druga u Petrogradu.


Iako je mobsoft.eu smještena na Koobface matičnom poslužitelju nema dokaza da su mobsoft.com i mobsoft.eu međusobno povezani.

Dodatna istraga otkrila je stare zapise s ugašene stranice mobsoft.com kao što je logo tvrtke i opis proizvoda kao što je "Mobile Casino Management System" sugerirajući da obje Web stranice pripadaju istoj tvrtci.


Adresa u Petrogradu koja se nalazi na MobSoftovoj Web stranici nije pružila dodatne informacije, za razliku od Češke adrese. Google Streetview pokazuje kako se adresa nalazi u stambenom dijelu Praga, a rezultati pretraživanja sugeriraju kako se niz tvrtki nalazi registriran na toj adresi, uključivši i tri MobSoft entiteta.


Češka vlada održava portal koji omogućava jednostavni uvid u podatke o tvrtkama, kao što su poslovna djelatnost, adresa na kojoj su registrirani te podaci o vlasnicima i dioničarima.

Podaci o registriranim osobama uključuju datum rođenja i broj putovnice. Pregledom detalja o tvrtkama otkriveno je da je Anton K. doista vlasnik tih tvrtki što sugerira da je "Krotreal" doista Anton K. iz Petrograda.

Slične pretrage obavljene su i u odgovarajućim registrima za tvrtke registrirane u Petrogradu, Velikoj Britaniji i na Otoku Manu. Registri Velike Britanije i Otoka Mana pretraživani su zbog jednog posta na forumu koji je sugerirao da se radi o zajedničkoj tvrtki iz Velike Britanije i Rusije, dok je jedan drugi post sugerirao da je tvrtka Compact Disc iz Indije preuzela tvrtku MobSoft (Mobile Software Limited) s razvojnim centrima u Velikoj Britaniji i u Petrogradu. Ovi tragovi, iako zanimljivi, ipak nisu bili zadovoljavajući.

Utjecaj jezika - МобСофт

Slučaj Koobface očito ima snažne veze u Rusiji i istočnoj Europi što znači da jezik postaje značajan faktor u istrazi.

Jednostavna pretraga riječi MobSoft na poslužitelju Ruske federalne porezne uprave nije dala nikakve rezultate, međutim, kada se upotrijebi ćirilićna verzija  "МобСофт" tada se pojavljuju rezultati.

Slično je i na tražilicama kao što je Google ili Yandex, ili pretraživanje na društvenim mrežama. Također je bitno napomenuti da automatski prijevodi sumnjivih imena ili njihovih vlastitih prijevoda na Engleski mogu rezultirati u nikakvim ili čak u krivim rezultatima. Pretraga pojma "МобСофт" ne samo da je potvrdila postojanje tvrtke registrirane u Petrogradu već je također dovela do Ruskog portala koji prodaje poslovne informacije. Taj portal navodi Romana K. kao vlasnika tvrtke Mobsoft LLC bazirane u Petrogradu.

To ime je već poznato iz Češkog registra u vezi tvrtke Mobsoft s.r.o. Daljnje istraživanje vodilo je do različitih portala za zapošljavanje koji su identificirali različite zaposlenike MobSofta, kao primjerice grafičkog dizajnera. Iako je ta osoba nevezana uz prijetnju Koobface-a, njegova Web stranica sadrži različite ilustracije i crteže, kao primjerice MobSoft korporativni dizajn.

Najznačajniji je bio oglas za posao koji navodi Alexandra K. kao kontakt tvrtke s telefonskim brojem koji odgovara jednom od brojeva pronađenih u skripti koja šalje statistiku na SMS.


Detalji o Alexandru K. su slabi. I baš kao i u slučaju "Krotreal" pristup Alekxandrovom profilu na vkontakte.ru je ograničen.


Iako je profil nedostupan, slika je vjerojatno njegova. Otkriveno je također da Alexander K. komentira po zidovima različitih drugih profila na vkontakte.ru stranicama, potencijalno pripadnicima Koobface bande. Pokušaji da se otkrije više informacije o njemu nisu dali rezultata.

Nekoliko drugih profila sugerira da on također djeluje pod nadimcima  "floppy", "megafloppy" ili "darkfloppy". Profili koji koriste te nadimke mogu se pronaći na različitim društvenim mrežama, primjerice na LiveJournal. Na temelju slike s profila, datuma rođenja, reference na Petrograd te interesa za različite programske jezike, moguće je da je on zadužen za programiranje unutar bande.

Značajno je da je upravo njegov telefonski broj iskomentiran u skripti koja šalje statističke podatke na SMS. Kao i "PoMuC" on je dioničar tvrtke Paytelecom a.s., još jedne povezane Češke tvrtke pronađene tijekom pretraživanja Češkog registra tvrtki.

Daljnja pretraga dovela je do drugog oglasa za posao, kojeg je opet postavio Alexander K. ovaj puta izlistavajući broj u Petrogradu  "+7 (812) < prikriveno> 31".


Broj je potpuno identičan broju mobilnog telefona s iznimkom da se koristi pozivni broj Petrograda umjesto pozivnog broja mobilne mreže. I dok to može biti tipfeler ili čista koincidencija, korištenje istog broja unutar mobilne mreže i fiksne mreže smatra se prestižnim te se to dosta koristi.

Sljedeći taj način razmišljanja bilo je moguće povezati drugi broj iz Koobface skripte s Romanom K. s obzirom da je njegov broj izlistan u Whois bazi za domenu highspeed.ru čiji je on vlasnik.
domain: HIGHSPEED.RU
nserver: ns.masterhost.ru.
nserver: ns1.masterhost.ru.
nserver: ns2.masterhost.ru.
state: REGISTERED, DELEGATED, UNVERIFIED
person: Roman K.
phone: +7 812 <prikriveno&ht;99
e-mail: andrew@elitum.com
registrar: RUCENTER-REG-RIPN
created: 2003.09.26
paid-till: 2011.09.26
source: TCI
Slično, pretraživan je i vkontakte.ru za pojmom "МобСофт" što je dovelo do identifikacije još dva profila, jedan koji pripada članu "Vladimir XD" (o kojemu nije bilo nikakvih dodatnih informacija) i drugi koji je pripada Svyatoslavu P.

Prijatelji i obitelj - slaba karika Koobface bande

S Antonom K. ("Krotreal"), Alexanderom K. i Romanom K. identificiranim kao potencijalnim članovima Koobface bande, preostalo je još nekoliko nadimaka i osoba za istraživanje.

Jedan od njih je "PoMuC", spomenut sa svojim ICQ brojem kao kontatkom na babkiup.com Web stranicama. Već njegov ICQ profil sam za sebe pruža mnoštvo informacija.

Započnimo s imenom "Roman" i vezom s tvrtkom MobSoft, zajedno s datumom rođenja i referencom na Petrograd. Ime i datum rođenja odgovaraju Romanu K. koji se nalazi u Češkom registru tvrtki.

Svega nekoliko profila  je pronađeno za "PoMuC", a i oni koji su vjerojatno njegovi ili su povezani s njim pružaju vrlo malo detalja.

Osim nekih adresa elektorničke pošte, pronađena je i poveznica na tvrtku "Elitum Ltd." koja je registrirana za razvoj aplikacija za mobilne telefone (primjerice kasino igre), što je vrlo slično tvrtci MobSoft.

Neki od proizvoda tvrtke Elitum, kao što je ElitePassword, još uvijek se mogu pronaći na Internetu. Međutim, tvrtka je zatvorena i Web stranice nisu više dostupne.


Bez obzira na to, nekoliko adresa elektroničke pošte još uvijek se može pronaći, kao što su {andrew|psviat|akolt|support|4spam}@elitum.com. Nadimak "psviat" korišten je i za registraciju domene "mobsoft.eu". Ime korišteno prilikom registracije je Syvat P., što može biti skraćeno od Svyatoslav P.

Na temelju jednog drugog profila potvrđeno je kako je nadimak "akolt" u stvari Alexander K., vlasnik tvrtke MobSoft IT consulting s.r.o. Konačno, adresu andrew@elitum.com koristio je Roman K. kod registracije domene higshpeed.ru. S obzirom na malo informacija, ime Roman K. je pretraživano na vkontakte.ru i svi pronađeni profili su pregledani. Na žalot, činilo se da niti jedan profil ne odgovara a neki nisu bili uopće dostupni.

Moglo je izgledati kao da se došlo do kraja, ali nikada ne treba podcjenjivati prijatelje i porodicu. Poznato je iz Češkog registra tvrtki da je Maria K. registrirana kao suvlasnica jedne tvrtke povezane s MobSoftom.
Pretraga Maria K. na vkontakte.ru vratila je samo jedan rezultat. Srećom, to je bio njen profil i bio je maksimalno otvoren javnom pristupu te se moglo vidjeti slike, popise prijatelja i slično.


Na njenom popisu prijatelja i slikama ne samo da se nalazi Roman K., već primjerice i Anton K. Iz profila je jasno kako su Maria K. i Roman K. oženjeni te da imaju kćer.


Kako je sada poznato lice Romana K. moguće je povezati dva sljedbenika "Krotreala" na Twitteru (spb_roman i ru_roman) s Romanom K. jer obje slike na avataru prikazuju njega.

To nam također daje i dva moguća nadimka koja koristi Roman K., a koja se mogu dalje istražiti. Dodatnim istraživanjem slika koje je dijelila Maria K. otkriveno je kako je njena obitelj provodila praznike s Antonom K. što sugerira bliske odnose između njih.

Porodica i prijatelji na društvenim mrežama također igraju bitnu ulogu tijekom istrage o Svyatoslavu P., alias "psviat". Iako je njegov profil na vkontakte.ru dostupan, slike nisu. No bez obzira što Svyatoslav P. ne dijeli slike, više od 95 slika su označili drugi povezujući ih s njim i njegovim profilom. To je inherentno svojstvo društvenih mreža i pokazuje kako je teško biti nezamjećen na takvim mrežama jer ako pojedinac ne dijeli informacije kao što su fotografije, mogu to učiniti njegovi prijatelji ili obitelj.

Analiza tih slika, primjerice, pokazuje da se ne tako davno vjenčao s Svetlanom D. koja je poznanica Marie K. Njegov popis prijatelja pokazuje da je on poznanik oboje prethodno spomenutih Marie i Romana K., kao i Antona K.

Povezivanje nadimaka "psviat" i "PsychoMan" s Svyatoslavom P. bilo je moguće kroz istraživanje različitih profila. Iako njegovo sudjelovanje u Koobface prijetnji nije još poznato, postoje indicije da je on zadužen za razvoj programske podrške.

Također je povezan s adresom elektroničke pošte "ha-xep@.ru" koja je korištena u različitim zloćudnim aktivnostima, kao što je primjerice domena setup.bestmanage.org smještena na istoj IP adresi kao i stara mobsoft.com Web stranica unutar mreže UPL Telecoma.

Seks se prodaje

Uz pomoć slike Svyatoslava P. i njegove žene iz vkontakte.ru foto albuma bilo ih je moguće identificirati na slikama s AWM (Adult Web-Master) Open 2009. konferencije na Cipru. Web stranice "FUBAR Webmaster" sadrži arhivirane setove fotografija s različitih događanja za odrasle na kojima je taj par identificiran.


Svyatoslav P. je uslikan kako koristi nadimak "PsycoMan" na svom bedžu.


Porno industrija, posebno u Rusiji, česta je tema kod istraga o kiberkriminalu jer se za osumnjičene često utvrdi da su na neki način uključeni u posao "zabave za odrasle".

Vjerojatno je za to nekoliko razloga, ali to nikako ne nači da je cijela scena webmastera stranica za odrasle (engl. adult webmasters) uključena u maliciozne aktivnosti.

Kako je malo vjerojatno da kiberkriminalci započinju svoju kriminalnu karijeru samo tako, utvrđen je čest uzorak da pojedinci ulaze i uključuju se u porno industriju na Internetu, te stiču kontakte i znanje. Siva zona te scene, želja kriminalaca da zarade što više novaca što prije može biti motiv koji tjera neke da polako pređu granicu i uključe se u kiberkriminalne radnje.

Dodatno, ne smije se zaboraviti kako je povjerenje jednako važno na podzemnom tržištu kao i u legalnom poslovanju. Nekoliko događaja porno industrije kroz godinu pružaju odličnu platformu da se uspostave takvi odnosi povjerenja i poslovanja što može biti dodatni razlog zašto se porno industrija opetovano pojavljuje u istragama kiberkriminala.

Webmasteri stranica za odrasle u Petrogradu

Rođen 1962. godine Stanislav A. (također poznat i kao "LeDeD", "DeD", "Ded Mazai" ili "zoro_ru") je 20 ili više godina stariji od ostalih članova Koobface bande i zadnji je te potencijalno najzanimljiviji osumnjičeni u ovoj istrazi.


Iako se nekoliko profila može pronaći na različitim sumnjivim forumima kao primjerice crutop.nu, master-x i umax, ti profili ne sadrže puno korisnih informacija osim njegovog ICQ broja i tvrdnje da je "u službi" od 1999. godine.

Jedan od postova koje je ostavio "DeD" na www.master-x.com sadržavao je poveznicu na Web stranicu na site-u zvanom 99livecam.


Pristup toj poveznici vodi posjetitelja nazad u davnu prošlost scene webmastera za odrasle u Petrogradu, točnije na stranicu "The United Club of Adult Webmasters of St. Petersburg", koja datira iz 2000. godine.


Web stranice sadrže neke slike s prvih sastanaka kluba. Dodatno, web stranice sadrže sekciju fotografija s naslovom "Ded Mazai", istim pojmom pronađenim na ICQ profilu korisnika "PoMuC".

Moguće je da pojam "Mazai Team" označava neku grupu (vjerojatno) webmastera za stranice za odrasle u Petrogradu.

Web stranice također sadrže poveznicu na forum koji je povezan s ozloglašenim CoolWebSearch (CWS) spyware aktivnostima. Dodatna analiza postova na forumu pružila je neke povijesne uvide u aktivnosti CWSa kao i o informacijama o Ruskoj sceni Webmastera stranica za odrasle, ponavljajući uzorak koji je prije raspravljan (prelazak u kriminalnu djelatnost putem porno scene).

Nije iznenađujuće otkriće da je Stanislav A. povezan sa zlim CWS aktivnostima, iskorištavanjima ranjivosti, PPC (Pay per click) prijevarama i slično. Istraga starih profila kao i Whois zapisa konačno je otkrila njegovo ime, primjerice stari Whois zapis dnserror.org domene koja je spominjana u raznim pronađenim raspravama o malicioznim Web stranicama. Ovo je Whois zapis za dnserror.org koji navodi Stanislava A. u Pragu:
Registrant Name:Stanislav A.
Registrant Organization:no
Registrant Street1:P5,
Registrant City:Prague
Registrant State/Province:CZ
Registrant Postal Code:15200
Registrant Country:CZ
Registrant Phone:+420
Registrant Email:zoro_ru@<prikriveno>.com
Ime Stanislav A. također se pojavilo tijekom istraživanja Romana K i Alexandera K jer su svi oni dioničari Paytelecom s.a., još jedne Češke tvrtke.

Upitom registra Čeških kompanija za imenom Stanislav A otkrilo je još jednu tvrtku. Vlasnici te tvrtke su Stanislav A, njegova žena te kćeri.

Mogli bi se zapitati zašto je cijela obitelj registrirana kao vlasnik tvrtke, ali vlasnicima tvrtki u Češkoj lakše je dobiti vizu, pa čak i permanentnu boravišnu dozvolu u nekom trenutku, što je vjerojatno ovdje slučaj.

S obzirom na sve informacije može se uspostaviti jasna veza između "Ded Mazai" i Stanislava A. "Ded Mazai" profil na vkontakte.ru sadrži kćeri i ženu kao prijatelje, uz Atona K. i Romana K.

Stanislav A. također dijeli neke fotografije. Jedna od njih primjerice dokumentira njegovu posjetu AWM Open 2005. konferenciji. Stanislav A. također održava i javno dostupni foto album sa stotinama slika na Google Picasa.


Jedan set fotografija je posebno zanimljiv jer prikazuje sve prethodno spomenute osumnjičene zajedno sa ženama i djevojkama na pecanju.


Vidjevši kako osumnjičeni članovi Koobface bande putuju zajedno - čak sa svojim porodicama, je uzorak koji se ponavlja kroz fotoalbume svih njih.

Jedna od dokumentiranih tura prikazuje ih na putovanju kroz Europu u posjeti Španjolskoj, Nici, Monte Carlu koji konačno završava u kazinu u Baden-Badenu, Njemačka - vjerojatno kockajući s novcem ukradenim od svojih žrtava.


Roman K., Svyatoslav P., Alexander K., Anton K. i Stanislav A. žive živote bogatih i poznatih.


Bitno je napomenuti da identificirani pojedinci u ovom tekstu nisu osuđeni u vezi Koobfacea te da nisu proglašeni krivima za bilo kakav kriminal.

Potpuni dokazi su u rukama odgovarajućih agencija i čekamo da vidimo što - ako išta - će se poduzeti da se ugasi Koobface banda.

Zahvala: Autori ove istrage željeli bi se zahvaliti ljudima iz različitih organizacija za zajedničke napore u prikupljanju ifnormacija o Koobface prijetnji, posebno:
  • Facebook Security Team
  • Gary Warner - UAB Center for Information Assurance and Joint Forensics Research
  • Claudio Guarnieri - iSIGHT Partners
  • Trend Micro Threat Research
  • Infowar Monitor
  • Thomas from CERT-Bund
  • CSIS Security Group A/S
  • and various law enforcement agencies around the globe.
Dodatna literatura:
Koobface: Inside a Crimeware Network [PDF]
The Real Face of Koobface: The Largest Web 2.0 Botnet Explained [PDF]
The Heart of Koobface: C&C and Social Network Propagation [PDF]
Web 2.0 Botnet: Koobface Revisited [PDF]
More Traffic, More Money: Koobface Draws More Blood [PDF]

No comments:

About Me

scientist, consultant, security specialist, networking guy, system administrator, philosopher ;)

Blog Archive