Tak jest! W końcu się doczekałem. Opowiadałem już kilka lat temu na konferencjach i poza nimi, że sieci botnet będą sobie powoli ewoluowały i do komunikacji wykorzystywane będą coraz to nowsze i bardziej ciekawe protokoły sieciowe, a im bardziej będą zbliżały się komunikacją do ruchu sieciowego wyglądającego na ruch zwykłego użytkownika, tym będziemy mieli trudniej w kwestiach wykrywania takich sieci. Dzisiaj truizm, kiedyś w czasach sieci botnet opartych na protokole IRC, każde wyjście poza schemat było szalenie interesujące. Mieliśmy już szyfrowany ruch, kryptografie symetryczną, asymetryczną, losowe poszukiwania, ukrywania się w obrazkach, a także na stronach mikroblogowych serwisów i w końcu po kilku latach udało się także dotrzeć do bardzo starej usługi jaką są listy dyskusyjne :]
Specjalista Gavin O’Gorman z firmy Symantec, odkrył mały, raczej testowy botnet, wykorzystujący do rozsyłania poleceń osoby zarządzającej, właśnie usługę Google Groups. Co prawda lista dyskusyjna w języku chińskim ale i tak zakodowanym z użyciem szyfrowania RC4, a następnie base64. Oczywistym jest, że tego typu metod będzie jeszcze więcej i w jeszcze różniejszej formie, niemniej jednak i w tej materii zapewne twórcy złośliwego oprogramowania nie raz nas jeszcze zaskoczą. Osobiście w tej chwili czekam na wersję z jednego filmu kinowego, w którym to sprzęty gospodarstwa domowego na całym świecie, które miały się bezprzewodowo komunikować z satelitami i wymieniać informacje przeróżne, finalnie zostały wykorzystane do właśnie światowego botnetowania :]
Źródło: http://cyberinsecure.com/google-groups-used-by-trojan-as-command-network/
Czekałem, czekałem i w końcu się oficjalnie doczekałem ;] Specjaliści z firmy Symantec w swoim biuletynie dotyczącym wirusów opisali trojana, który służy jako klient sieci botnet i jest dystrybuowany z piracką wersją (via bittorrent) oprogramowania iWork 2009. Co ciekawe firma Apple ogłosiła nowy pakiet na konferencji MacWorld 2009, co spotkało się z ożywionym zainteresowaniem ukradzenia tegoż produktu i przyczyniło się do pobrania przez kilkadziesiąt tysięcy osób zainfekowanej wersji aplikacji. Po instalacji uruchamiane są dwie nowe usługi systemowe OSX.Iservice i OSX.Iservice.B (z uprawnieniami administratora), które zajmują się uzyskaniem haseł użytkowników i podłączeniem do sieci botnet. Badacze z firmy Symantec przyznają, że zachowanie i sposób działania trojana wskazuje na profesjonalne podejście tak często obecnie spotykane w oprogramowaniu atakującym konkurencyjne produkty firmy Microsoft. W styczniu 2009 roku podobna kopia tego złośliwego oprogramowania została znaleziona w pirackiej wersji Adobe Photoshop CS4 (także torrent). Widać ktoś dobrze zna rynek Macowy i wie, że i tutaj fani nielegalnego oprogramowania pobierają takie aplikacje. Kolejna ciekawa choć oczywista droga do infekcji systemu. Myślę, że cyberprzestępcy powoli dostrzegają potencjał rosnącej liczby użytkowników tych systemów i będą coraz częściej skupiać swoją energię w kierunku infekcji tegoż systemu operacyjnego.
Ostatnio lubię zaglądać w dłuższe dokumenty gdzie raportują różne interesujące mnie zdobycze informacyjne. Pod tym 
Od kilku dni specjaliści od zabezpieczeń z firmy SANS oraz Symantec obserwują masowe ataki na strony WWW, które umożliwiają infekcję komputerów osób odwiedzających te witryny. Do tego celu używana jest animacja flash wykorzystująca znaną dotąd lukę w produktach z serii Adobe Flash Player.