Ten program zamienia komputer w broń cyberprzestępców
Eksperci z firmy antywirusowej Eset wykryli w popularnym menedżerze pobierania plików Orbit Downloader nietypową zawartość - kod, który zamienia komputer użytkownika w zdalnie sterowaną broń, do której kontroler posiada cyberprzestępca. Za pośrednictwem wielu takich komputerów możliwe jest przeprowadzenie ataku, który może spowodować unieruchomienie np. strony jednego z banków. Wszystko to bez wiedzy i zgody użytkowników programu Orbit Downloader.
Orbit Downloader firmy Innoshock jest asystentem pobierania plików, który integruje się z przeglądarką internetową. Program przyspiesza pobieranie plików z sieci oraz umożliwia zapisywania na dysku komputera strumieniowanych treści multimedialnych, np. filmów z serwisu YouTube. O popularności narzędzia świadczą dziesiątki milionów pobrań z popularnych serwisów internetowych, udostępniających programy w wersjach instalacyjnych. Mimo że aplikacja jest darmowa, producent, firma Innoshock, zarabia na niej dzięki umowom z firmami trzecimi. Zyski czerpane są m.in. ze sprzedaży reklam, jakie wyświetlane są podczas instalacji i działania programu.
Eset dokładnie analizuje tego typu programy, sprawdzając czy nie są to tzw. potencjalnie niebezpieczne aplikacje. Takie aplikacje nie są co prawda wirusami, ale mogą działać w sposób, którego nie życzy sobie użytkownik, m.in. wyświetlać denerwujące reklamy (tzw. adware) czy instalować niepotrzebne paski narzędzi w przeglądarkach (tzw. toolbary). W wypadku Orbit Downloadera Eset zaklasyfikował program właśnie do grupy potencjalnie niebezpiecznych aplikacji. Ostatnia analiza programu Orbit Downloader, wykonana przez ekspertów z laboratorium antywirusowego pozwoliła odkryć coś jeszcze. Pomiędzy wersją 4.1.1.14. a 4.1.1.15 dodano złośliwy komponent, który Eset klasyfikuje jako Win32/DDoS.Orbiter.A. Ten dodatek sprawia, że komputer z Orbit Downloaderem zaczyna niezauważanie dla użytkownika, realizować rozkaz ataku na konkretny serwer dostępny w Internecie. Tego typu ataki eksperci nazywają Denial of Service (DoS).
Jak przebiega sam atak? Komputer z Orbit Downloaderem "zaczepia" wytypowany przez cyberprzestępców serwer, np. taki, dzięki któremu w sieci dostępna jest witryna internetowa banku. Maszyna z zainstalowanym programem pozornie próbuje nawiązać połączenie z serwerem, przedstawiając się przy tym fałszywym adresem IP, a więc adresem jaki posiada w sieci każde urządzenie - komputer, smartfon czy tablet. Próba weryfikacji adresu IP przez serwer kończy się brakiem reakcji ze strony komputera inicjującego kontakt - w końcu prawdziwy adres IP tej maszyny jest inny od tego, który został podany podczas próby połączenia z serwerem. Większa liczba tego typu zapytań, kierowanych do danego serwera przez grupę komputerów z zainstalowanym Orbit Downloaderem, sprawia, że wskazany przez cyberprzestępców serwer w końcu ulega przeciążeniu i przestaje działać. Taki zmasowany atak nazywany jest atakiem Distributed Denial of Service (DDoS) i w jego efekcie konkretna strona internetowa np. strona banku, może przestać działać.
Kamil Sadkowski, analityk zagrożeń z Eset zwraca uwagę, że pojedynczy komputer z zainstalowaną złośliwą wersją Orbit Downloadera bez przerwy komunikuje sie z siecią, generując przy tym ogromny ruch. To jedyna cecha charakterystyczna, dzięki której użytkownik może zorientować się, że z jego komputerem dzieje się coś niedobrego. Ta nadzwyczaj wysoka aktywność maszyny z Orbit Downloaderem to rezultat wykonywania ataku DoS na serwer, który cyberprzestępca określił w instrukcji, przesłanej wcześniej do komputera.
Eset rekomenduje wszystkim użytkownikom programu Orbit Downloader usunięcie rozwiązania ze swoich komputerów i skorzystanie z alternatywnych aplikacji - przynajmniej do czasu wyjaśnienia całej sytuacji przez producenta narzędzia, firmę Innoshock.
Warto zauważyć, że niektóre z serwisów udostępniających wersję instalacyjną Orbit Downloadera usunęły go ze swoich serwerów.