Går du og spekulerer på, hvordan den perfekte cyberforbrydelse kunne se ud? Så er her et bud.
De to forskere Masarah Paquet-Clouston og Olivier Bilodeau har kortlagt botnettet Linux/Moose, som inficerer embeddede Linux-enheder, herunder routere.
Olivier Bilodeau er leder af Cybersecurity Research hos it-sikkerhedsvirksomheden GoSecure.
Masarah Paquet-Clouston er kandidatstuderende i kriminologi ved universitetet i Montréal, og så arbejder hun hos GoSecure som researcher.
Under et indlæg på it-sikkerhedskonferencen Black Hat Europe fortalte de om, hvordan Linux/Moose er et lidt atypisk botnet, idet det hverken bliver brugt til spam, DDoS-angreb eller den type aktiviteter.
Linux/Moose bliver brugt til at oprette falske profiler og generere likes og følgere på sociale medier mod kontant betaling. Eksempelvis 10.000 følgere på Instagram for 112 dollars, hvilket svarer til 750 kroner.
Faktisk er det botnettet Linux/Moose 2.0 forskerne har kortlagt. Det oprindelige Linux/Moose-botnet lukkede nemlig ned sidste år, da it-sikkerhedsvirksomheden ESET udgav en rapport om, hvordan botnettet fungerede.
Olivier Bilodeau samarbejdede med ESET i forbindelse med rapporten.
I september dukkede en ny og forbedret udgave af Linux/Moose så op, som forskerne har valgt at kalde Linux/Moose 2.0
Malwaren var nu blevet tilpasset, så flere af de elementer, som ESET havde blotlagt i rapporten, var lavet om. Eksempelvis anvender Linux/Moose 2.0 ikke længere en hardcoded ip-adresse til den bagvedliggende styringsmekanisme, command&controller-strukturen.
Honeypots
For at få krammet på Linux/Moose 2.0 har forskerne bygget en serie honeypots. Det er betegnelsen for et system, som sikkerhedsforskere kontrollerer, men som set fra en angribers perspektiv ligner eksempelvis en sårbar server. Eller i dette tilfælde en router.
Hensigten er at få systemet inficeret med malware, som forskerne kan studere adfærden af.
Olivier Bilodeau kunne fortælle, at honeypot-setuppet til Linux/Moose bygger på Cowrie-softwaren, og at den indeholder en virtuel ARM-arkitektur. Derudover har honeypotsene - der var flere - været sat op til at emulere userland på en Busybox-drevet router. Det er sådan en konstellation, som Linux/Moose 2.0 går efter.
I første omgang var der dog en udfordring ved at anvende Cowrie, da softwaren oprindeligt ikke understøttede telnet. Det er netop via telnet og svage kodeord, at Linux/Moose 2.0 sniger sig ind på routere. I dag understøtter Cowrie telnet, hvilket skyldes et kodebidrag fra botnet-forskerne til open source-projektet.
»Det lyder lettere, end det var,« sagde Olivier Bilodeau og fortsatte:
»Det var et spørgsmål om et par dages udvikling.«
Resultatet er, at alle nu kan bruge Cawrie til at tiltrække IoT-malware, pointerede han med henvisning til den nytilkomne telnet-understøttelse.
Kryptering
Der var mere end blot manglende telnet-understøttelse i Cawrie, der viste sig tricky i forhold til at få has på botnet-softwaren. Linux/Moose kommunikerer nemlig krypteret via HTTPS.
Og eftersom forskerne gerne ville kigge ind i botnet-kommunikationen for at se, hvad nettet faktisk havde gang i - hvor likes og følgere forsvinder hen og den slags - så skulle krypteringen omgås.
Det endte med at ske i form af et man-in-the-middle-angreb udført med programmet mitmproxy og et selvsigneret certifikat.
Som nogen vil vide, så kan et selvsigneret certifikat godt bruges i krypterings-sammenhæng, men når certifikatet er selvsigneret i stedet for at være stemplet af en godkendt Certificate Authority, så får det alarmklokkerne til at bimle og bamle i blandt andet browsere.
Og forskerne var selvsagt ikke interesseret i, at noget skulle hverken bimle eller bamle hos personen eller personerne bag botnettet i forbindelse med man-in-the-middle-aflytningen.
»Her blev vi nødt til at krydse fingre og håbe på, at det var automatiseret, og at de var ligeglade,« fortalte Olivier Bilodeau.
Og det var de tilsyneladende. I hvert fald kunne forskerne tappe ind i den krypterede trafik, uden nogen lukkede ned for det.
Stealthy
Under observationen af Linux/Moose gik det op for forskerne, at det egentlig er et relativt stealthy botnet.
Det er der tre grunde til. For det første er der ingen x86-udgaver af malwaren, der er skrevet til en ARM-arkitektur.
»Bortset fra Linux/Moose, så har vi aldrig set IoT (Internet of Things, red.)-malware, som ikke har en x86-udgave,« sagde Olivier Bilodeau.
Manglen på x86-kode kan ifølge Bilodeau hjælpe malwaren med at gå under den brede it-sikkerhedsradar, fordi de fleste eksperter på området er eksperter i x86-kode.
En anden grund til, at Linux/Moose ifølge forskerne kan betegnes som stealthy er, at botnettet ikke DDoS'er, spammer eller laver lignende, der dels larmer, og dels efterlader direkte ofre.
Endeligt så har botnet-malwaren ingen persistens. Sagt med andre ord, når routeren bliver slukket eller genstartet, så forsvinder malwaren. Og det tæller som et plus-point på stealthy-kontoen.
Historien om bedstemors router
Bilodeau brugte i den sammenhæng et eksempel med en bedstemor, der har en router, som pludselig holder op med at virke.
Hun genstarter den, routeren virker stadig ikke - eller også holder den op med det efter nogle dage. Det kan eksempelvis skyldes, at enheden er inficeret med malware, som har et memory leak, der før eller siden får routeren til at crashe.
Sådan et leak kunne botnet-bestyreren forsøge at patche, men så skal der skubbes software ud til den ustabile enhed, og det kan være bøvlet. Og desuden er en konstant crashende router bare ikke særlig stealthy.
Hvorom alting er, så bliver bedstemor i Bilodeaus historie træt af den evigt crashende router og køber en ny af slagsen, som måske har bedre sikkerhed. I hvert fald er det slut for malwaren.
Men med Linux/Moose 2.0 så hjælper det faktisk at slukke eller genstarte routeren, da malwaren kun ligger i hukommelsen. Og bedstemor køber ikke længere en ny router.
Og her gør det ikke noget, at botnet-malwaren forsvinder ud af systemet, da den i løbet af kort tid formentlig vil kunne komme ind af samme vej, som gjorde inficeringen mulig i første omgang. Altså en dårlig kombi af telnet og elendig login-beskyttelse.
Falske likes og følgere
Ud over at have kortlagt anatomien i botnet-malwaren så har forskerne også studeret den bagvedliggende forretningsmodel, som altså er salg af likes og følgere på de sociale medier.
Det foregår ved, at de indlemmede enheder i botnettet bliver brugt til at oprette falske profiler på eksempelvis Twitter og Instagram. Disse profiler kan så kommanderes til at like posts og følge folk.
Masarah Paquet-Clouston har i den forbindelse selv oprettet en falsk profil på Instagram, som hun har købt følgere til online hos den formodede botnet-hersker. Moose-delen af Linux/Moose betyder elg på dansk. Navnet kommer fra en tekststreng, 'elan', som forskerne er stødt på i malwarens binære kode. Det kan betyde mange ting. På fransk betyder élan elg. Deraf Linux/Moose.Navnet Linux/Moose
Og takket være man-in-the-middle-angrebet mod den ellers krypterede kommunikation har forskerne så efterfølgende kunnet registrere, at Masarah Paquet-Cloustons falske profil er suset gennem honeypot-botnet-routerne.
»Det handler om at skabe falske anbefalinger til konti på sociale medier for at øge brugerens popularitet,« fortalte Masarah Paquet-Clouston.
I den forbindelse kunne hun oplyse, at 10.000 følgere på Instagram i gennemsnit koster 112 dollars
Instagram er i øvrigt den mest populære tjeneste, som botnettet bliver sat til at interagere med. Og det er også den sociale tjeneste, som det ifølge forskerne er billigst at købe følgere til.
Men hvem er kunderne egentlig til sådan en forretningsmodel? Masarah Paquet-Clouston har observeret, at det ofte er folk, der håber på at købe sig til et gennembrud inden for hverv som sanger, skuespiller og model.
Og så har hun også bemærket et fællestræk ved de profiler, der med al tydelighed har købt sig til sociale venner.
»Det er mest folk, der poster billeder af sig selv,« som hun fik det formuleret under indlægget, der i øvrigt havde titlen: 'Ego Market: When people's greed for fame benefits large-scale botnets'
Nemt at spotte
Der er flere indikationer på, at en profil på de sociale medier er falsk. Eksempelvis kan det være, at profilen følger 256 på Twitter, selv har 1 følger og aldrig har lavet en post.
Og så har den slags profiler ofte også et mere eller mindre intetsigende profilbillede, forklarede Masarah Paquet-Clouston.
At det er nemt at spotte de falske profiler bliver understreget af, at de 8.000 nyindkøbte følgere efter kort tid falder drastisk i antal, efterhånden som det sociale medie identificerer de falske profiler.
Det er i øvrigt også for at snyde de sociale mediers detektionsmekanismer, at forretningsmodellen overhovedet foregår via et botnet i første omgang og ikke eksempelvis fra en almindelig server, forklarede Olivier Bilodeau.
Pointen er, at det vil være relativt let for det sociale medie at lukke ned for ip-adresser knyttet til et centralt server-setup, mens de inficerede routere jo anvender folks almindelige og i udgangspunktet tilforladelige ip-adresse.
Masarah Paquet-Clouston klagede i forbindelse med sit køb af falske følgere på Instagram til sælgeren over, at hun havde mistet rigtig mange af dem igen.
»Could you please add them back,« skrev hun således i et support-chat-vindue (sådan noget har moderne it-kriminelle.)
Svaret kom prompte:
»Sure, adding.«
Og så var der igen følgere.
Forskernes skjulte dagsorden med at få fulgt op på følgere var at generere yderligere botnet-trafik, som ville gå gennem deres honeypots, så det var muligt at studere botnet-mekanismerne yderligere.
En krukke med guld
Via indblikket i botnettet har Masarah Paquet-Clouston og Olivier Bilodeau regnet sig frem til, at botnet-indehaveren tjener i omegnen af 13 dollars om måneden per inficerede enhed.
Og da der kan være mange hundrede tusinde enheder i sådan et botnet, ja, så løber det op.
»Det viser os, at de på en måde sidder på en krukke med guld,« sagde Masarah Paquet-Clouston.
Forskerholdet har forsøgt at gøre myndighederne opmærksom på setuppet, men det er ikke lykkedes at vække nogens interesse, hvilket hænger sammen med manglen på direkte ofre.
Som Masarah Paquet-Clouston påpegede, så er det jo ikke ligesom med ransomware, hvor folk presses til at betale penge.
De eneste ofre er måske dem, der bliver narret til at købe sig til den falske popularitet, fortalte Paquet-Clouston.
Manglen på direkte ofre - og deraf politiets interesse - kombineret med en (antageligt) gigantisk månedlig indtægt fik Masarah Paquet-Clouston til at konkludere:
»Det er egentlig ret sejt - vi har fundet en slags perfekt cyberforbrydelse.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
