Осторожно: D.I.R.T. на свободе!

Д.В. Кудин
20.05.2005 | 14:06



Осторожно: D.I.R.T. на свободе!

Скандально известная программа удаленного администрирования, мониторинга и перехвата информации D.I.R.T.™ (Data Interception by Remote Transmission) в течение последней недели вновь привлекла внимание общественности.

D.I.R.T.™ был разработан и распространяется компанией Codex Data Systems Inc., основателем которой является Фрэнк Джонс (Frank Jones) - бывший полицейский Нью-Йорка, судимый по обвинению в нарушении параграфов 2511(1)(a), 2511(1)(b), 2511(4)(a), 2512(1)(a) и 2512(1)(b) статьи 18 свода законов США (US Code). В частности, параграф 2512 гласит: "Производство, распространение, владение и рекламирование устройств для перехвата передающейся по проводам, устной или электронной информации запрещено". Характерно, что в первом пункте руководства по D.I.R.T. имеется ссылка на данный параграф законодательства США.

Согласно информации, опубликованной 14 марта 2002 года агентством The Register под заголовком "Law-enforcement DIRT Trojan released" (http://www.theregister.co.uk/content/55/24433.html), веб-сайт Фрэнка Джонса подвергся атаке хакеров. В результате атаки, по сообщению сайта http://cryptome.org, около 140 файлов стало доступно широкой общественности. Среди них - документация на различные продукты и технологии Codex Data Systems, а также исполнимые файлы и дистрибутив системы D.I.R.T.

Утечка информации нанесла серьезный урон и без того сомнительной репутации компании. Система D.I.R.T., согласно официальной политике CDS, предназначается для использования исключительно правоохранительными органами и имеет стоимость, в зависимости от конфигурации, от 2 до 200 тысяч долларов. Независимые же эксперты утверждают, что по функциональности система D.I.R.T. не намного превосходит широко известные бесплатные хакерские программы Back Orifice и SubSeven.

По утверждению разработчиков, D.I.R.T. используется для борьбы с терроризмом, детской порнографией и распространением наркотиков. Однако специалисты видят серьезную опасность в применении столь мощной системы мониторинга и удаленного администрирования для промышленного шпионажа и ведения информационной войны.

Теперь же, с появлением "боевого" варианта D.I.R.T. в свободном доступе на сайте http://cryptome.org, следует ожидать опасности и для обычных пользователей, подключенных к сети Интернет. Следует отметить, что целью открытого предоставления программы является, прежде всего, ознакомление с ней специалистов для исследования используемых механизмов и выработки эффективных средств защиты от программ подобного рода. Интересен тот факт, что для получения из демонстрационного варианта, в котором отсутствует ключ для активации (http://cryptome.org/dirty-war.zip), рабочей версии (http://cryptome.org/moredirt.zip) независимым специалистам потребовалось около 20 минут времени и изменение всего шести байт кода.

Вопреки маркетинговой политике компании Codex Data Systems, многие называют D.I.R.T. не иначе, как троянской программой. Антивирусные компании с самого момента появления D.I.R.T. в 1998 году находятся в замешательстве и не знают, как реагировать на данный факт. Некоторые из них все же пошли на решительный шаг и включили D.I.R.T. в свои вирусные базы. Так, например, антивирусные программы производства "Лаборатории Касперского" и Trend Micro определяют файл coredll.dat, являющийся компонентом D.I.R.T., как троянскую программу под названием Trojan.PSW.Johar, или просто JOHAR. Кроме того, клиентская часть D.I.R.T., устанавливаемая на компьютер, являющийся объектом контроля, имеет по умолчанию такие же файлы, что и JOHAR - desktop.exe, desktop.log and desktop.dll.

Ведущий разработчик D.I.R.T., Эрик Шнайдер (Eric Schneider), ушел из компании в 1999 году по этическим причинам. По его словам, он разрабатывал D.I.R.T. для того, чтобы помочь полиции в борьбе с педофилией, но CDS продавала его иностранным разведкам. Интересен тот факт, что, по заявлению Шнайдера, D.I.R.T. не является таким всемогущим продуктом, каким его преподносит руководство CDS, и некоторые из рекламируемых возможностей просто не существуют.

Каковы же принципы работы D.I.R.T.?

Система состоит из клиентской и серверной частей. Основные функции программы - это перехват всех нажатий клавиш и невидимая отсылка информации на заданный адрес электронной почты, который контролируется командным центром D.I.R.T. При этом отсутствует необходимость в физическом доступе к клиентскому компьютеру. Дополнительные возможности D.I.R.T. включают удаленный доступ к файлам через Интернет или локальную сеть, удаленное управление системой (запуск программ, редактирование реестра и др.), возможность перехвата информации в режиме реального времени, удаленный захват экрана и звука (если к клиентскому компьютеру подключен микрофон).

Основой клиентской части является "жучок", встроенный для маскировки в какой-либо обычный исполнимый файл или документ Microsoft Office. При запуске или открытии "зараженного" файла, жучок активизируется и невидимо устанавливается в системе. В его задачи входит перехват нажатий клавиш, выполнение команд, поступающих от серверной части, отправка зашифрованных файлов отчета на заданный адрес электронной почты.

Главные компоненты серверной части:

  • D.I.R.T.™ Control Center Configuration - предоставляет удобный доступ к двум наиболее важным конфигурационным файлам системы D.I.R.T. - "Import Files", где содержится перечень файлов с журналами регистрации, полученными от клиентских компьютеров, и "D.I.R.T.™ Generator", где настраиваются параметры конфигурации для генерирования новых "жучков". После импортирования в базу новых клиентов можно просматривать их журналы регистрации в html формате с настраиваемыми шаблонами.
  • Target Manager - менеджер "целей". Содержит перечень всех клиентских компьютеров, находящихся под наблюдением и позволяет добавлять, удалять, редактировать, активировать/деактивировать "цели", а также генерировать "жучки" для новых "целей". Внешний вид окна менеджера "целей" показан на рисунке 1.
  • D.I.R.T.™ Remote Access - терминал для связи с клиентской частью. Позволяет записывать файлы на клиентский компьютер или с него, запускать программы на клиентском компьютере, давать различные команды и управлять "жучком", устанавливать/обновлять дополнительные компоненты и многое другое.

Окно Target Manager
Рисунок 1 - Внешний вид окна менеджера "целей".

Таким образом, видно, что даже минимальные возможности D.I.R.T.™ дают серьезный повод задуматься специалистам по сетевой безопасности.

Дополнением к D.I.R.T. является технология с романтическим названием H.O.P.E. (Harnessing the Omnipotent Power of the Electron - "управление всемогущей силой электрона"), имеющая отнюдь не столь романтическое предназначение - автоматизация процесса генерирования "жучков" и их массового внедрения на клиентские компьютеры через сеть Интернет. В числе вышеупомянутых 140 файлов, добытых хакерами, самой программы H.O.P.E. не оказалось, зато была получена презентация в формате PowerPoint, описывающая возможности и функции этой технологии.

Программно-аппаратный продукт H.O.P.E. поставляется тем агентствам, которые обладают сайтовой лицензией на D.I.R.T. Принцип его работы состоит в том, что, при посещении сервера H.O.P.E. пользователем, автоматически генерируется "жучок" системы D.I.R.T., который снабжается уникальным кодом для идентификации и определения местоположения клиента. Все перемещения "жучка" фиксируются в журнале регистрации сервера. Таким образом, сложно предположить масштабы распространения системы D.I.R.T.

Даже межсетевые экраны не являются помехой на пути D.I.R.T. Обход защиты достигается за счет использования технологии AntiSec™. Предназначается AntiSec для поиска всех известных межсетевых экранов и их незаметной нейтрализации.

Среди прочих продуктов CDS следует отметить следующие:

  • B.A.I.T. - создание "отслеживаемых" электронных документов;
  • PC PhoneHome - отслеживание и определение местоположения похищенных или утерянных ноутбуков и компьютеров;
  • KeyKatch - аппаратный перехватчик сигналов клавиатуры, позволяющий записывать все нажатия клавиш и хранить их в собственной флэш-памяти;
  • ACHTUNG! - позволяет системным администраторам осуществлять полный удаленный контроль над всеми компьютерами корпоративной сети, работающими на платформе Windows (другое название продукта - "гражданский" вариант D.I.R.T.);
  • N.E.S.T. - программно-аппаратный комплекс, позволяющий операторам кабельной связи обнаруживать утечки трафика;
  • H.E.R.F. - аппаратный продукт, основанный на использовании радиочастот высокой энергии для вывода из строя электронных устройств противника;

Кроме того, у CDS есть и другие продукты и технологии, однако информация о них очень скудна или вообще отсутствует. Официальный же сайт компании - http://www.codexdatasystems.com - в последнее время сильно поредел и отличается крайне низкой информативностью: лишь несколько общих слов о программе D.I.R.T.

Будем надеяться, что произошедшая утечка информации о продуктах и деятельности компании Codex Data Systems даст только положительные результаты и будет способствовать повышению квалификации специалистов по информационной безопасности и осведомленности компьютерных пользователей, работающих в сети Интернет.

Д.В. Кудин, contacts@bezpeka.com.

По материалам сайтов http://cryptome.org и http://www.theregister.co.uk.