Como os hackers realmente alcançam o “anonimato”?

Hacker - > Máquina comprometida - > Máquina comprometida - > Máquina comprometida - > Govt. Máquina

Ao rejeitar conexões, criar proxies privados e comandar máquinas remotas via IRC, os controladores de, por exemplo, botnets grandes são capazes de manter o anonimato enquanto seus subordinados comprometidos (muito publicamente) executam os ataques, portscans, DDoS, spamming, sniffing, keylogging, roubo de identidade ou propagação do próprio software da botnet, etc.

Alguns links interessantes incluem:

• O projeto Honeynet
• Como funcionam as botnets
• Fundação Shadowserver
• Defesa de botnets
• Wiki

Você começa com bots e confia na ignorância dos usuários. Em seguida, ele se espalha como uma rede por conta própria.

Em algum momento, é mais trabalho rastreá-lo do que vale a pena. Se você o ignorar e o tempo em que os bots forem descobertos, será mais difícil saber quando e onde se originou.

Hoje eles trabalham em grupos, então há mais disseminação de diferentes pontos quase simultâneos.

Eles podem ser rastreados? Sim, e há grupos que fazem isso. Outra questão é que, se estiverem em outros países, o que estão fazendo pode não ser ilegal ou não há leis que nos permitam extraditá-las, mesmo que alguém esteja disposto a passar pela papelada.

Geralmente eles estão trabalhando nos canais de IRC e espalhando suas comunicações de forma redundante. Há documentos de pesquisas de segurança que descrevem como eles funcionam se você procurar no Google por canais de controle de botnet e por pesquisadores de segurança do Google. Eles infiltram-se rotineiramente e observam canais de controle de botnets para ter uma idéia de quantos sistemas estão infectados e do que são capazes ... redes sofisticadas até têm métodos em vez de atualizar sistemas zumbis remotamente.

E tecnicamente eles não são hackers. Os hackers ficam bastante irritados quando você chama hackers de criminosos. Eu acho que o termo preferido é crackers, como em crackers de sistema. Ou chapéus pretos. Sistemas de quebra agora são bastante lucrativos e são apoiados por dinheiro real e funcionários corruptos em alguns países. Não são mais "hackers" que estão demonstrando desprezo por usuários ignorantes ou mostrando como são espertos com ambulâncias animadas na parte inferior da tela. Eles estão fora para roubar dinheiro e senhas de pessoas e usar engenharia social para roubar outras pessoas. Se o bot for descoberto, é totalmente acidental ou inadvertido.

Em geral, um invasor que deseja permanecer anônimo usará quaisquer mecanismos disponíveis para ocultar sua identidade. A técnica que você descreveu - lançar ataques de computadores comprometidos - é uma técnica bastante comum (veja O Ovo do Cuco para uma conta do final dos anos 80 do uso de tal técnica por um atacante, por exemplo). Como um invasor, o objetivo é dificultar o gerenciamento do ponto de vista administrativo para que terceiros rastreiem os "saltos" pelos quais seus comandos estão se movendo. Empilhe lúpulos suficientes através de máquinas comprometidas (especialmente quando estão em países "atrasados" com leis desatualizadas sobre crimes de computador) e você dificulta descobrir onde o atacante realmente está.

No que diz respeito ao controle real dos computadores comprometidos, o invasor pode usar algum programa já instalado que atende a solicitações recebidas. Com o SO como o Windows, porém, que normalmente não possuem daemons TELNET ou SSH, é mais provável que o invasor deixe algum software malicioso para trás.

Não conheço ferramentas VPN de uso imediato usadas no controle de computadores comprometidos, mas certamente é possível.

O IRC foi usado, por um longo tempo, como uma rede de "comando e controle" para computadores comprometidos. Os computadores comprometidos entrariam em um servidor de IRC, entrariam em um canal específico e esperariam pelos comandos.

As redes de comando e controle nos "bots" modernos estão ficando bastante complexas e usam criptografia de chave pública para autenticar comandos. Além disso, existem alguns "bots" com recursos para detectar adulterações na rede de comando e controle e, por fim, lançar ataques DDoS contra alguém que tenta forjar pacotes de comando e controle. (Muito sorrateira, que ...)