A ZeuS hálózata az egész világot átszőtte: karrierje csúcsán százkilencvenhat országban volt jelen; elsősorban Egyiptom, az Egyesült Államok, Mexikó, Szaúd-Arábia és Törökország jelentette a legtöbb fertőzött gépet. A bűncselekménybe mintegy 2400 vállalat számítógépei is belekeveredtek.
A ZeuS botnet elsősorban biztonsági rések automatizált kihasználásával terjedt, így a felhasználók többsége nem is tudott róla, hogy PC-jük a zombihálózathoz tartozik; 2010-ben csak az Egyesült Államokban kb. 3 millió 600 ezer fertőzött gépet számoltak. Az áldozatok között egyformán voltak magánemberek, vállalatok, cégek és pénzintézetek.
Egy szinte átláthatatlan rendszert kellett felfednie az FBI-nak: a malware programozók fejlesztették a kártevőt, amit több botnetgazda terjesztett világszerte. A fertőzött gépekről a ZeuS összegyűjtötte az áldozatok számláinak megcsapolásához szükséges banki belépési adatokat. Miután a bankok átutalták a pénzt – az FBI által money mule-nak nevezett – köztes embereknek, ők az átutalt pénz bizonyos százalékának fejében továbbküldték a lopott összeget. Végül több ilyen átutalás során jutott csak el a zsákmány a bűnszervezethez.
ZeuS gyermekei
A Zeus forráskódját tavaly nyilvánosságra hozták, így megnyitva az utat a ZeuS-leszármazottak és a trójai új generációinak fejlesztése előtt.
Januárban a ZeuS egyik utódja, a Citadel trójai hívta fel magára a figyelmet azáltal, hogy fejlesztői teljes körű támogatási szolgáltatásokkal együtt kezdték értékesíteni a feketepiacon.
Náluk az ügyfél szava szent
A kártevőt és a hozzá tartozó alapcsomagot potom 2400 dollárért + 125 dollár havi frissítési díj ellenében lehet megvásárolni. Az alapcsomag tartalmaz egy bot-építő programot illetve egy botnet adminisztrációs panelt. Ehhez még további csinos összegekért saját igénynek megfelelő modulok is vásárolhatók. Mintha csak egy étteremben válogatnánk a menüről, úgy állíthatjuk össze saját trójainkat.
A vásárlók megkapják a Citadel részletes kezelési útmutatóját, valamint egy licenc-feltételekről (!) szóló dokumentumot. Az új generációs trójai árusítói mindenről pontos tájékoztatást adnak ügyfeleiknek: lépésről lépésre a hatékony együttműködés jegyében. Mindezek mellett a kártékony programhoz teljes körű fejlesztői szolgáltatások tartoznak.
A Citadel honlapján a fejlesztők odafigyelnek az ügyfelekre és szavazni is lehet arra, hogy milyen új modulok kerüljenek fel az „étlapra”; sőt egy külön felületen a vásárlók bejelenthetik igényeiket a jövőbeni fejlesztésekre és persze támogatást kapnak a károkozó-kit használatához. A fejlesztők a honlapon minden új funkcióról megkérdezik, hogy van-e igény rá, és ha a vevők többsége rábólint, akkor beleveszik a repertoárjukba. Utána ezek közül a különböző szolgáltatások közül vásárolhatnak az ügyfelek aszerint, hogy saját kémprogramjuk mire legyen képes.
Bármiféle kérdéssel bátran fordulhatnak az érdeklődők a fejlesztéshez, hiszen a Citadel saját ügyfélszolgálatot is fenntart, mely hétfőtől péntekig 10:00-tól 00:30-ig van nyitva, hétvégén pedig bár zárva van, üzenetet bárki hagyhat nekik. Hát nem kedvesek?
Bevásárlólista
Az alapcsomag szolgáltatásain túl többféle modul közül választhat az ügyfél: ilyen lehet például a közel 400 dollárért megvásárolható automatikus frissítőrendszer. Ez a szolgáltatás folyamatosan frissíti a megfertőzött gépeken a trójait, így az újra és újra képes elbújni a vírusirtók elől. (Bár mivel ebben az életben semmit nem adnak ingyen, minden egyes frissítés plusz tizenöt dollárba kerül.)
Továbbá megvásárolható hozzá például egy beépített ingyenes vírusirtó is (ez elég nagy, 25 MB-os csomag), amely arra hivatott, hogy a többi károkozótól megvédje a zombigépet. Így a a Citadelnek nem kell más vírusokkal osztoznia a gépen.
Merre tovább, Citadel?
Az új trójai számos újítással tudja még hatékonyabbá tenni működését. Például van egy olyan funkciója, mely megvédi a bűnözők saját országait a kártevőtől. Ha a trójai érzékeli, hogy ukrán vagy orosz billentyűzetet használ az áldozat, akkor egyszerűen kilép. Így az ukrán vagy orosz fejlesztők biztosak lehetnek benne, hogy nem lesz helyi áldozat, vagyis a hatóságok sem lépnek fel ellenük – legalábbis nem olyan intenzíven, mintha saját területen is kárt okoztak volna.
Az új fejlesztések közé tartozik olyan önvédelmi szolgáltatás is, amely blokkolja a megfertőzött gépen a Windows frissítéseket és az antivírusok frissítőszervereit, így megelőzve azt, hogy az operációs rendszer betömhesse a biztonsági réseket, a vírusirtó frissíteni tudja önmagát és megtalálja a trójait.
A kémprogram képes a fertőzött számítógépek képernyőjéről képeket és videófelvételeket rögzíteni, amelyet természetesen továbbküld a botnet gazdának, új szintre emelve az adathalászat lehetőségeit. Gondoljunk csak bele, hogy a netbank használata közben készült videófelvétel mennyi információt tartalmazhat az áldozatról. De ugyanúgy beletúrhat bármibe, amit a számítógépen talál: orvosi leletekbe, névjegyzékekbe vagy vállalati adatokba, melyet felhasználhat áldozatai ellen. És ki lehet áldozat? Gyakorlatilag bárki, ezt példázzák azok az FBI által közzétett adatok, amely szerint a ZeuS/Citadel trójaik nagyvállalati hálózatokba is eljutottak, például a Bank of America, NASA, Monster.com, BusinessWeek gépeire.
A Citadel-modell
A Citadel fejlesztése egyszerű kereslet-kínálat rendszeren alapszik, mely más vírusírók és –terjesztők körében is jó üzleti modell lehet, hiszen elképesztő hatékonysággal működik: egy-két hónap alatt több mint húsz különböző botnetet épített fel. Félelmetes belegondolni, hogy már most mire képesek ezek az új generációs vírusok, amelyek egyik napról a másikra még fejlettebb vírusok előzményeit alkotják.

