Klumme: Systematisk angreb mod online casinoer

Et scenarie vi naturligvis har hørt om tidligere men aldrig oplevet praktiseret så systematisk og målrettet, som det har været tilfældet de seneste uger. En ny tendens som vi kommer til at se mere til? Ja, muligvis og særligt nu hvor der findes skræddersyede værktøjer, der kan købes for en silk af it-kriminelle og misbruges i koordinerede angreb,

Det er primært europæiske casinoer, som i den seneste uge har været under pakkebeskydning fra it-kriminelle, men sporet fra disse bander kan følges flere måneder tilbage og startede med angreb mod russiske online-casinoer. Nu ser vi profilerede websider placeret i Europa og USA blive udsat for afpresning og efterfølgende angreb, hvis der ikke betales en løsesum.

IT-kriminelle har ved brug af et BOTnet og et særligt DDoS-framework, som hedder "BlackEnergy", rettet deres skyts mod populære casinoer som f.eks. Europa Casino, Full Tilt Poker, Party Casino, CD Poker og Virgin Games. Flere casinoer er i øjeblikket under angreb, og tendensen er klar.

Et af disse BOTnet, som har været særligt involveret i de målrettede angreb, er et BlackEnergy DDoS-framework hostet hos Layered Techonologies i Atlanta, USA. Herfra er bl.a. følgende kommandoer blevet udstedt:

ddos_command=flood http, control_server=64.22.1x.xx, ddos_target=www.cdpoker.com ddos_command=flood http, control_server=64.22.1x.xx, ddos_target=www.fulltiltpoker.com

HTTP flooding er en særlig type Denial of Service, som når den kommer fra flere klienter på samme tid (DDoS), kan forbruge så store mængder båndbredde hos målet for angrebet, at den pågældende websides båndbredde og resourcer udsultes. Det vil, mens angrebet står på, betyde ringe tilgængelighed og kan bevirke store tab for online-services, der er afhængige af høj tilgængelighed. Ja, hele deres eksistens, som er baseret på online-services, er under pres med disse værktøjer, som tilbydes fra diverse undergrundssider til spotpriser med både support og opdateringer i et år efter køb. BlackEnergy-værktøjet kan udføre forskellige typer DDoS angreb - afhængige af hvilket mål angrebet rettes imod:

ICMP ping flooding
TCP SYN flooding
UDP flooding
HTTP GET request flooder.
Binær pakke flooder
DNS request flooder

Værktøjet udvikles af "Crash", som tydeligvis tjener penge på at sælge software til grupper med mindre teknisk indsigt men med tid og motivation til at rette skade mod konkurrenter og online-services med henblik på afpresning m.v.

BlackEnergy består af tre komponenter. Den første komponent er en klient, som anvendes til at kompillere den skadelig kode. Det sker fra et brugervenligt værktøj til Windows. I denne klient defineres, hvad den endelige komponent, som skal anvendes til at inficere systemer, skal gøre. Bl.a. skal inficerede maskiner instrueres om, hvor de skal ringe hen for at modtage ordre. Det sker ved brug af BlackEnergy DDoS-klienten (se vedhæftede skærmdump).

Når alle data er tastet ind i "klienten", så trykkes der blot på "build", og den skadelige kode dannes og er klar til at blive misbrugt.

Vi ved, at BlackEnergy typisk installeres automatisk ved brug af såkaldte "driveby"-angreb, hvor der fra kompromitterede websider, som almindelige brugere lokkes til at besøge, forsøges misbrugt sårbarheder i Microsoft Windows og populære trejdepartprodukter. På den måde installeres den skadelige kode uden brugerens viden. Koden er, som tidligere nævnt, "forarbejdet" så den efter infektion af systemet ringer hjem til en C&C (Command & Control) server, hvor den melder sig klar til (mis)brug.

Fra et grafisk webinterface (PHP baseret), som findes på C&C serveren, og som er en del af BlackEnergy pakken, kan den it-kriminelle nu udstede ordrer til flere hundrende, ja tusindende inficerede maskiner på samme tid og derved igangsætte et angreb mod et mål, som specificeres i C&C panelet. Let og meget effektivt - desværre.

Mange DDoS-zombier i Sverige
Vi kunne, efter en analyse af det mest aggressive BOTnet konstatere, at et forholdsvis stort antal DDoS-zombier er placeret i vores naboland, Sverige.

CSIS indsamler i øjeblikket IP-adresser på de mange inficerede maskiner, som uvidende deltager i angreb med henblik på at distribuerere disse data videre til de relevante internetudbydere, så de kan tage fat i kunderne omkring problemet.

Vi ved, at mindst en af de grupper, der har været involveret i den sidste uges angreb, er kendt fra tidligere mafia-agtige afpresninger mod online-services.

--------
Peter Kruse er Security- and virusanalyst i CSIS Security Group