Сотни тысяч россиян останутся без интернета в понедельник. Доступа к Сети пользователи со всего мира лишатся из-за ФБР, которое отключит сеть мошеннических серверов, созданных киберпреступниками.
9 июля ФБР США проведет беспрецедентную акцию — выключение DNS-серверов, созданных киберпреступниками с целью похищения личных данных пользователей. В результате нормально пользоваться интернетом не смогут порядка 4 млн человек, или 0,2% всех пользователей Земли.
В России проблемы могут возникнуть у сотен тысяч пользователей, заявляют эксперты. Такие неудобства интернет-сообществу доставил вирус DNSChanger, гуляющий по Сети уже несколько лет.
— Пользователи, чей компьютер оказался зараженным вирусом, действительно на некоторое время могут остаться без интернета, — говорит Павел Васильев, технический директор группы компаний Hosting Community.
— Помимо сайтов у них также не будут работать электронная почта, системы обмена сообщениями, другие интернет-сервисы. Вероятнее всего при попытке подключиться к интернету и зайти куда-то пользователи увидят в своем браузере сообщение о том, что сервер не может быть найден.
По данным «Лаборатории Касперского», всего злоумышленникам удалось заразить около 4 млн компьютеров по всему миру. Больше всего жертв находится в США и Китае, за ними идут Россия и Германия. В России количество зараженных компьютеров антивирусные эксперты оценивают шестизначным числом.
По данным их облачной системы мониторинга угроз, только в этом году в России они зафиксировали десятки тысяч попыток заражения этой вредоносной программой.
— В случае если таких пользователей будет много, отключение DNS-серверов будет хорошо заметно, — считает Васильев. — Это выразится в том, что на какое-то время прекратится деловая переписка по почте, снизится активность в социальных сетях, возрастет нагрузка на службы технической поддержки телеком-операторов.
Система DNS-серверов предназначена для преобразования буквенных сочетаний в числовые значения адреса интернет-протокола (IP), каждый из которых скрывается за доменом. Например, за адресом ya.ru скрывается IP 77.88.21.3, и если в строке адреса написать эти цифры, то можно оказаться на странице поисковика.
В операционной системе прописано, что при введении адреса домена браузер обращается к тем DNS-серверам, к которым считает целесообразным обратиться. Также в системе предусмотрена возможность самому выбрать нужный DNS-сервер — этой функцией и пользуется вирус, который прописывает путь к нужному DNS. В результате, введя один адрес, пользователь попадал на ресурс злоумышленников.
— Неправильное определение IP-адреса из доменного имени приводит к тому, что пользователи попадают на подложные сайты, а дальше либо заражаются, либо передают свои учетные данные злоумышленникам, — поясняет руководитель группы информационной безопасности компании Symantec Олег Шабуров.
— Вторая опасность этого метода — это то, что продукты для защиты тоже используют регулярные обновления. При использовании этой технологии они обращаются к тем серверам, где нет обновлений, соответственно остаются необновленными и менее защищенными, чем в дальнейшем пользуются злоумышленники.
Правоохранительные органы пытались очистить инфицированные компьютеры от троянца, но попытки не увенчались особым успехом.
— Многие машины до сих пор остаются инфицированными и выполняют работу с интернетом через модифицированные значения DNS, — рассказывает руководитель отдела антивирусных разработок компании «Доктор Веб» Сергей Комаров.
— Из-за того что контролирующие органы не могут поддерживать работу этих серверов бесконечно, было принято решение их отключить.
— Если DNS-серверы злоумышленников будут отключены, то ни подложный, ни настоящий ответ пользовательской системе не придет, а значит, пользователь просто не сможет открыть ни один адрес, не изменив настройки DNS в своей системе, — добавляет Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».
— Именно поэтому возникли опасения, что после этого интернет может пропасть, но в данном случае вопрос лишь в настройках системы пользователя, которые несложно поменять.
Цель создателей троянца была самой простой: получение финансовой выгоды. Для осуществления задуманного авторы DNSChanger выбрали вполне выгодный и успешный сегмент интернет-экономики, а именно сегмент онлайн-рекламы и маркетинга.
— По мнению спецслужб, владельцы троянцев DNSChanger создали ряд подставных фирм, якобы занимавшихся рекламным бизнесом в интернете, — говорит Комаров.
— Заключая сделки с различными компаниями и иными заинтересованными сторонами, они получали оплату за количество переходов по рекламе, размещаемой на веб-сайтах ничего не подозревающих клиентов. Большее число посетителей генерирует большее число трафика, и соответственно увеличивается финансовая отдача для мошенников.
С технической точки зрения все выглядело достаточно просто: киберпреступники создали специальные DNS-сервера, на которые производились перенаправления пользователей, а троянские программы изменяли соответствующие локальные настройки их компьютеров.
После инфицирования рабочих станций вредоносные программы могли подменять поисковые запросы пользователей: вместо открытия ресурса, отображаемого в поисковике, пользователь перенаправлялся на тот сайт, который был нужен мошенникам. Троянцы также могли изменять легитимную рекламу на веб-страницах, отображая «свою» рекламу.
По словам экспертов «Лаборатории Касперского», решить проблему можно одной командой. Для пользователей русской версии ОС Windows данной командой будет «netsh int ip set dns name = «Подключение по локальной сети» source = dhcp». Либо можно воспользоваться инструкцией, размещенной на сайте компании Microsoft.