Особенностью Blackhole exploit kit была способность реализовывать скрытные drive-by download атаки с использованием встроенных в набор эксплойтов отдельных таких эксплойтов для веб-браузеров, а также их плагинов. Blackhole стал одним из самых коммерчески успешных проектов киберпреступников среди прочих, он также был первым таким изделием, которое предлагалось другим киберпреступникам в аренду за плату (crimeware-as-a-service).
Рис. Автор Blackhole exploit kit.
Paunch был арестован еще в конце 2013 г., о чем мы писали в посте на нашем блоге. Известная российская компания Group-IB участвовала в поимке этого киберпреступника. После покупки crimeware-пакета у автора, злоумышленник получал в свое распоряжение все функции управления набором эксплойтов. Панель управления используется для просмотра статистики, «залива» нужных файлов, контроля над раздаваемыми эксплойтами.
Рис. Типичная панель управления crimeware-пакетом Blackhole. Оператор может посмотреть статистику успешности работы набора эксплойтов, а также загрузить необходимые файлы вредоносных программ для «раздачи».
Одной из «изюминок» Blackhole было включение в его состав т. н. 0day эксплойтов, которые использовались в кибератаках на пользователей. Данный сценарий атаки был очень опасен для пользователей, поскольку используемые эксплойтами уязвимости еще не были закрыты вендорами, например, Microsoft. Это существенно увеличивало вероятность успешного применения эксплойта для drive-by download. В случае незаметной компрометации известного веб-сайта, профит для злоумышленников был огромным.
По информации Group-IB, BlackHole начал набирать популярность еще в 2010 г.
Связка эксплоитов «Blackhole» нашла первых покупателей летом 2010 года и постепенно набрала огромную популярность среди киберпреступников, желающих распространять вредоносные программы. Для установки вредоносных программ на компьютеры пользователей «Blackhole» использует уязвимости в компонентах программного обеспечения веб-браузеров, в том числе так называемые уязвимости «0-day» (уязвимости, исправление которых еще не было сделано со стороны производителя ПО). Источником посетителей, на компьютеры которых с помощью «Blackhole» устанавливались вредоносные программы, были, в основном, взломанные сайты и спам, рассылаемый по электронной почте.
Цена аренды связки эксплоитов «Blackhole» на сервере продавца составляла $500 в месяц. А цена аренды самого программного обеспечения для установки на собственном сервере — $700 за три месяца. В настоящий момент имеются сведения о более тысячи клиентов преступника. Известно, что каждый месяц только на своей незаконной активности «paunch» зарабатывал около 50 тысяч долларов США, а его личным автомобилем был белый «Porsche Cayenne».
www.group-ib.ru/index.php/7-novosti/1362-group-ib-pomogla-presech-deyatelnost-izvestnogo-khakera-s-psevdonimom-paunch
Антивирусные продукты ESET обнаруживают вредоносные веб-страницы и компоненты Blackhole как JS/Iframe.DE, Java/Exploit.Blacole, SWF/Exploit.Blacole, а также под общими обнаружениями типа HTML/IFrame.
Комментарии (37)
holyglory
15.04.2016 14:55-9Таким людям памятники ставить нужно.
А их в тюрячку :(
AllexIn
15.04.2016 15:13+7Знаете. Хочется грубо ответить, что-то в духе «Надо ставить памятники. Посмертно.»
Останавливает только то, что я не желаю этим людям смерти.
А вот справедливого наказания — вполне.
ТО что люди классные специалисты не оправдывает совершения преступления. Понятненько?
dartraiden
15.04.2016 19:16+1А за что памятники? За то, что помогал красть, в том числе, у граждан своей же страны?
ashalaenko
15.04.2016 19:16+4Талант и квалификация этих ребят не отменяют преступных действий. А если бы вы стали жертвой или ваши родители? Гитлер в какой-то степени также обладал массой талантов, но хотели бы вы видеть ему памятник?
hMartin
17.04.2016 15:50-3А в чем преступные действия-то? Искренне не понимаю. И вот как же люди любят давить на родственные связи и упоминать исторических злодеев.
Информация среднестатистического пользователя России — не критична. Что там эти вирусы могут сделать? Ну шифровальщики, блокировщики, стиллеры аккаунтов каких-нибудь. Ну вот угоняли у моих родителей аккаунты одноклассников, ловили они блокировщиков и порнобаннеры. Ну да, я или кто из знакомых матерились на этих негодяев и сносили винду забрав критичные данные на флешку(хотя обычно там их просто нет, родителям нужны фотки да и все, все их критичные данные). Все, никаких проблем. Онлайн банкинг сбера или манипуляции с карточками по одноразовому паролю, хоть обкрадитесь. Все мои критичные данные есть в облаке или на внешнем. Даже если я словлю вирус, устранение этой досады займет минут 5.
Ни разу от друзей/знакомых не слышал кейсов, где сильно бы страдал массовый пользователь. Да, нервы, ненависть к вирусописателям и все, маты и снос винды. Однажды надоело знакомой переставлять систему и впаял ей линук. +1 к карме)
GrinyaLovesYou
15.04.2016 19:17+3Писать эксплойты к купленым дырам много ума не надо. Но даже если этот парень сам находил уязвимости, его деятельность не сделала нашу жизнь лучше. За что памятник-то?
JC_Piligrim
15.04.2016 19:25+5Памятник выдающемуся хирургу, аккуратно и безошибочно разобравшему вашего ребёнка на органы вы бы тоже поставили? И заодно памятник группе лиц, талантливо похитивших этого вашего ребёнка, стоило вам только на мгновение вам отвернуться?
oWeRQ
15.04.2016 17:03Надо было позиционировать сервис как инструмент для тестирования безопасности, был бы в белой шляпе, выступал бы на конференциях…
В каждой шутке, есть доля шутки, есть множество инструментов для тестирования безопасности, которые фактическия являются средствами взлома.
Mixim333
16.04.2016 08:00+1Поговорка: «Вашу б энергию да в мирное русло!» — как нельзя лучше подходит к Дмитрию. Граница между «хакером» и «антихакером» очень тонкая и может быть, если в свое время его заметили, он бы принял «светлую сторону силы».
Какое наказание подходит для автора Blackhole? — Разумеется, тех кто выбрал «темную сторону силы» уже не исправить, но их способности можно направить в мирное для нашего государства русло, как уже предлагали в комментариях выше: ломать сервера Пентагона.
scifix
16.04.2016 09:48-2в принципе возражений особо нет. Но откуда такие сроки бешенные, за убийства столько не дают. За биткоин скоро вышку будут давать такими темпами
NLO
НЛО прилетело и опубликовало эту надпись здесь
win32asm
Как мне кажется, это довольно обидно, когда твой компьютер тебе не принадлежит, и ведёт себя своей собственной загадочной (а тем более — криминальной) жизнью. Так что в подобных кейсах я на стороне «быдло-руководства из быдло-депутатов». 8-\
NLO
НЛО прилетело и опубликовало эту надпись здесь
BHYCHIK
Если тебе сломали нос в подворотне, то это твои проблемы — ты либо плохой боксер, либо маменькин сынок.
Zavtramen
Я так понимаю что в тексте НЛО было что-то типа «юзеры сами виноваты», раз такой ответ? Просто в отрыве от контекста ответ не очень понятен своим посылом, сарказм это или такая позиция )
Al-sandr
… либо ты живешь не в правовом государстве и права на безопасность и неприкосновенность тебе не гарантированы.
BOMBeR369
Дело в том, что с точки зрения стратегических ресурсов человек, который сломал ему нос, намного ценнее как специалист в войне ломания носов с другой страной. Несмотря на все его «неправомерные» действия.
Если он эксперт мирового класса, то его личный скилл отменит все.
khim
romy4
Ага именно поэтому в Цахал разрешается не выполнять приказ, если он неправомерный, либо явно глупый, ведущий бойца на смерть или увечия. И армия Цахал на голову выше российского раздолбайства.
khim
А давайте не рассказывать сказок, а?
А где и когда они последний раз сталкивались, извините? Хотя бы опосредованно? Армия Цахал неплохо лупит неорганизованных арабов — это правда. А вот как она поведёт себя при встрече с нормальной армией — неизвестно.Пока что косвенные проверки показывают скорее обратное: когда «самые лучшие армии всех времён и народов» воюют с ИГИЛ — он цветёт и пахнет. Когда туда приходят «российские раздолбаи» — он уходит из Пальмиры.
После этого разговоры о «самой лучшей в мире армии Цахал» начинают того… немного попахивать.
mwizard
А можно рассказывать истории о Русском Превосходстве в каком-нибудь другом, специально предназначенном для этого месте? Это все-таки коллективный блог о программировании. Пожалуйста.
vayho
У меня к вам встречный вопрос, почему вы не написали человеку выше? Ну как бы начал этот разговор не этот комментатор.
teecat
Есть мнение, что Китай использует хакеров в госцелях. И было исследование, выводом которого стало «Сколько волка не корми, он все в лес смотрит». Если люди работали на шальные деньги, то с чего они станут законопослушными за копейки?
linev
А кто сказал, что он будет принимать участие в кибер-войне с другой страной? Человек за деньги портил жизнь другим людям, нормальным элементам общества, которые создавали какую-то ценность для этого общества. Он помогал паразитировать на них. Сам паразитировал.
Кибер-война с другой страной?
Да он сольет другой стране всю секретную информацию за деньги, своим же наставит дыр в системах безопасности и свалит туда, где ни другая страна, ни эта не найдет.
Дело не в скиллах. Дело в том, что человек без чести и совести.
Color
Вообще, это нормально — наказывать преступников. Тем более, когда речь идет не о взломе ради шутки или PoC, а о реальном ущербе. Другой вопрос, что государство может воспользоваться их умениями в своих интересах, а может не сделать этого, но в том или другом случае отбывать срок это людям не помешает
Да и вообще это порочная логика — считать, что некие скиллы/личные качества могут защитить от наказания за уголовное преступление. Смягчит ли сотрудничество меру пресечения — другой вопрос, но уж точно не отменит ее
WinPooh73
> Другой вопрос, что государство может воспользоваться их умениями в своих интересах
Совершенно верно. Вполне возможно, товарищу будет предложен соответствующий выбор — между условным шитьём варежек и не менее условным взломом серверов Пентагона.При этом совсем не обязательно, что это предложение будет сопровождаться публичной оглаской.
cmp167
Ага, а секретные герои каждый день спасают мир от пришельцев.
Реальность такова, что никто из чиновников не станет рисковать, тем более ради какого-то выскачки, который нашел дыру в экслорере — в самом дырявом браузере, самой дырявой оси, саппорт которой не удосуживался отменить авторан дисков, хотя эту дыру эксплутировали дети, на протяжении десятков лет.
DarkByte
А собственно что мешает по новостям сказать что ребят посадили, а на самом деле взять их под домашний арест и направить в нужное «спасителям» русло?
andy_p
Это что, типа шарашки возродить?
khim
А почему нет? Шарашки — много чего полезного сделали в своё время, да и вообще… с одной стороны всем понятно, что «вор должен сидеть», а с другой — глупо тратить ресурсы умных людей на шитьё варежек.
Другое дело, что это дело нужно хорошо контролировать, чтобы невинных людей под вымышленными предлогами туда не загребали — но тут явно не тот случай.
BHYCHIK
Я патриот и люблю свою страну. Но, во благо страны и народа, я не стану работать на государство, гнобящее интеллектуальную элиту страны.
DarkByte
Это как у вас преступник, который убивает и насилуют соотечественников, вдруг стал интеллектуальной элитой? Нет конечно, в прямом смысле они никого не убивали, они просто воровали деньги, информацию, уничтожали системы и всякими другими способами вредили своим согражданам. Но для кого-то это могли быть очень важные данные, а для кого то последние деньги на жизнь. Или я что-то не понял, и на самом деле они крали деньги только у богатых и потом раздавали бедным?
BHYCHIK
Меня не так поняли. Посмотрите о чем коммент. Я о шарашках. Интеллектуальной элитой я назвал людей, таких как Королев.
DarkByte
Тем ни менее, разве те ребята, о которых данный пост, были глупыми? Они смогли разработать систему, ломали сайты, обманывали людей, а ведь для этого мозги нужны. Но от того, что у них есть мозги и умения, можно ли им дать медаль за заслуги перед родиной? Я не очень хорошо знаю историю, поэтому наверняка не могу сказать за что посадили Королёва и было ли это решение правильным, но вот одну из установок данного ботнета мне довелось увидеть. По масштабам поражения зрелище невероятное.
hMartin
Эм, а можно цитату, где упоминается, что ребята ломали сайты?
Ребята разработали систему, которая тестирует браузер посетителя на наличие различных уязвимостей. Насколько я могу судить из статьи, они сами не занимались преступной деятельностью, а сдавали продукт своего интеллектуального труда.
Соответственно непонятно ваше притягивание за уши:
Причем тут сограждане и каким образом разработчики воровали деньги и информацию?
Возникла совершенно странная ситуация, при которой право на покупку уязвимостей в чужих программных продуктах имеют только специслужбы. Продажа подобной информации/создание пакетов уязвимостей, как мы видим, не особо поощряется. А вот если продать добрым дядям из АНБ, которые будут с помощью эксплойтов заражать нужные им системы и следить за своими и чужими гражданами, то можно получить хорошую сумму денег и жить счастливо.
DarkByte
Упоминается в самом начале статьи:
Систему они разрабатывали для себя, но в качестве дополнительного заработка продавали её другим. И притянуть к «тестировали браузер пользователей» не получится, потому что они: 1) тестировали пользователей не своего ресурса; 2) делали это скрытно (пользователь не давал согласия); 3) по окончанию тестирования они не уведомляли пользователя о результате, а заражали его компьютер определённым набором вредоносных программ, а так же сливали на свои сервера различные конфиденциальные данные пользователя, типа паролей и некоторых интересных файлов (например приватные ключи, файлы кошельков известных платёжных систем).
По поводу соотечественников я упомянул потому, что в том экземпляре системы, которую я видел, был установлен таргеттинг RU+UA, для остальных стран отдавался пустой документ вместо набора сплоитов.
А по поводу странной ситуации могу привести не менее странный аналог: если вы нашли пистолет и убили из него человека — то вас накажут, а если вы отнесёте его в полицию — то похвалят (и возможно поощрят, не знаю). Аналогично и с уязвимостями: можно сообщить разработку и получить плюшку, а можно использовать в преступных целях и получить срок (или большую денежку, если хорошо скрываться).