Dzięki współpracy firmy ESET z amerykańskim Federalnym Biurem Śledczym (FBI) udało się zidentyfikować i aresztować jednego z twórców olbrzymiej sieci komputerów kontrolowanych przez cyberprzestępców (tzw. botnet) o nazwie Windigo. O tym, jak duży był wspomniany botnet może świadczyć fakt, że do momentu wykrycia w 2014 roku Windigo był odpowiedzialny za wysyłkę ponad 35 milionów wiadomości spamowych dziennie! Czy po ujęciu twórcy Windigo wspomniany botnet nadal jest groźny?
Przypomnijmy, że botnet Windigo zaczął działać w 2011 roku. Przez prawie 3 lata pozostawał niewykryty. W marcu 2014 roku zidentyfikowali go eksperci z firmy ESET. Ekspertom z tej firmy udało się wówczas ustalić, że za sprawą wielu specjalnie zaprojektowanych zagrożeń komputerowych, zostało zainfekowanych kilkadziesiąt tysięcy serwerów na całym świecie. Windigo przekierowywał użytkowników tych serwerów na niechciane lub złośliwe treści (w zależności od systemu operacyjnego), serwując:
- złośliwe oprogramowanie dla komputerów z systemem Windows,
- reklamy stron randkowych dla użytkowników macOS
- treści pornograficzne dla użytkowników iPhone.
Ten sam botnet odpowiadał również za wysyłkę 35 milionów wiadomości spamowych dziennie!
Współpraca firmy ESET z FBI przy identyfikacji twórcy Windigo - Maxima Senakha
Firma ESET, przy współpracy z międzynarodowymi organizacjami, m.in. CERT, czy CERN, opisała funkcjonowanie botnetu w raporcie pt. „Operacja Windigo” (dostępny w j.angielskim). Pomoc inżynierów z ESET okazała się nieoceniona także dla ostatnich działań FBI. Firma ESET dostarczyła FBI wielu cennych informacji m.in. na temat złośliwej działalności botnetu Windigo i jego komponentów. W efekcie agenci Federalnego Biura Śledczego rozpoczęli monitoring dochodów generowanych przez fałszywe sieci reklamowe, co pomogło im zidentyfikować jedną osobę - Rosjanina – Maxima Senakha. Wskazana osoba, występując pod fikcyjnymi tożsamościami, zarządzała transakcjami pieniężnymi związanymi z nielegalną działalnością reklamową sieci Windigo.
W sierpniu 2015 roku Rosjanin, na prośbę federalnych władz USA, został aresztowany na granicy w Finlandii. Rosyjska strona rządowa wówczas sprzeciwiła się procedurze aresztowania i ekstradycji z uwagi na to, że informacje dotyczące nielegalnej działalności Senakha nie zostały im przekazane. W świetle tej sytuacji, Stany Zjednoczone złożyły wniosek o ekstradycję do fińskiego Ministerstwa Sprawiedliwości, które przychyliło się do prośby. Wydanie Senakha było kwestią czasu, bowiem od decyzji Finów nie było możliwości odwołania. Cyberprzestępca został wydany USA w lutym 2016 r. Senakh pierwotnie nie przyznał się do winy. Oznaczało to, że obie strony musiały przygotować się do procesu. ESET został poproszony o delegację świadków, którzy w sposób fachowy złożyliby zeznania wyjaśniające działanie botnetu Windigo. Rok po tej sytuacji, Senakh ogłosił sądowi, że przyzna się do postawionych zarzutów, w zamian za obniżenie wyroku. Proces nie był już potrzebny. W sierpniu br. cyberprzestępca został skazany na 46 miesięcy więzienia federalnego w stanie Minnesota.
Czy botnet Windigo jest nadal aktywny i groźny?
Niedługo po aresztowaniu Senakha, badacz bezpieczeństwa z Rackspace, zauważył znaczny spadek ruchu przekierowywanego przez zagrożenie Cdorked – złośliwy komponent wykorzystany w ramach operacji Windigo. W opinii inżynierów z ESET, zmniejszenie aktywności botnetu nie oznacza jednak jego przejścia w fazę spoczynku. Eksperci z ESET odnotowują nowe warianty zagrożenia Win32/Glupteba ściśle powiązanego z operacją Windigo. Właśnie ten komponent botnetu działa jako otwarty serwer proxy, a więc serwer pośredniczący, przez który z zainfekowanymi komputerami łączą się atakujący, co czyni trudniejszym ich namierzenie. Może to świadczyć o tym, że Windigo za jakiś czas zostanie reaktywowany.