Ki használja és mire?
A SystemBC hálózatot nem kifinomult elrejtésre tervezték: az üzemeltetők és felhasználók ugyanis nem titkolják a kompromittált szerverek IP-címeit, mindenféle védelem vagy rotáció nélkül használják őket. A botnet több mint 80 parancsnoki szervert alkalmaz, amelyek más kiberbűnözői proxyhálózatokat is kiszolgálnak. Az egyik legnagyobb ügyfél, a REM Proxy, a SystemBC gépek 80%-ára támaszkodik, és minőségi kategóriák szerint kínálja a szolgáltatást – mindezért akár több tízezer forintot (100 USD ≈ 36 600 Ft) is elkérnek havonta. Emellett orosz adatgyűjtő szolgáltatók, valamint egy vietnámi hátterű VN5Socks is jelentős felhasználó.
Miért VPS és mi történik a fertőzés után?
A botok 80%-a nagy szolgáltatóknál működő VPS-t jelent, amelyek kiemelkedően hosszú ideig maradnak kompromittáltak: gyakran több mint egy hónapig használhatók bűncselekményekre. Egyetlen gépen akár 20 vagy ennél is több, könnyen kihasználható biztonsági hiba is lehet – az abszolút rekorder egy alabamai VPS volt, amelyen 161 rés volt!
A fertőzött rendszerek elképesztő forgalmat bonyolítanak: egy IP-cím 24 óra alatt 16 GB adatot vitt át proxyként, ami tízszerese a tipikus lakossági proxyhálózatok forgalmának.
A rendszer automatizáltan, orosz nyelvű utasítások alapján telepíti magát, minden SystemBC-mintát egyszerre elindítva.
Túl az elrettentésen
A SystemBC ellen még rendőrségi akciók is hatástalannak bizonyultak. A kutatók részletes technikai elemzést és felismerési útmutatót is megosztottak, hogy a szervezetek képesek legyenek időben azonosítani a fertőzést, és megakadályozni a további visszaéléseket.
