Курьёзная история вышла с попытками разгадать загадки «фундаментальных» зловредов Flame и Gauss — вредоносной программы, крадущей данные пользователей для платёжных систем и банковских сервисов: две компании, занимающиеся вопросами сетевой безопасности, буквально «сшиблись лбами».
Некоторое время назад «Лаборатория Касперского» объявила о наличии сходства в коде Flame и Gauss, предположив, что обе вредоносные программы по существу являются одного поля ягодами.
Компания FireEye, известная по совместной с Microsoft операцией по уничтожению ботнета Grum (жаль, не полному и не окончательному), опубликовала результаты своего исследования, из которого следовало, что владельцы Gauss теперь используют в качестве командного центра тот сервер с тем же IP-адресом, на котором располагается CnC (командный сервер) Flame.
— Ранее «Лаборатория Касперского» обнаружила любопытное сходство в коде между Gauss и Flame, но последние события окончательно доказывают, что и за Gauss, и за Flame стоят одни и те же люди, — говорилось в заявлении FireEye.
«Мы, конечно, очень извиняемся, но вообще-то это наш sinkhole-сервер», — таков был общий смысл встречного заявления «Лаборатории Касперского».
— После обнаружения Guass мы приступили к работе с несколькими организациями с целью исследования его контрольных серверов, используя метод Sinkhole, — заявил ведущий эксперт «Лаборатории» Александр Гостев изданию Ars Technica.
С помощью этого метода «Лаборатория» уже дважды «угоняла» у владельцев ботнеты семейства Kelihos. Если упрощённо, речь идёт о внедрении в инфраструктуру ботнета поддельных контрольных серверов, которые «боты» начинают воспринимать как основные. Таким образом, контроль над ботнетом оказывается возможным перехватить полностью.
— Учитывая связь между Flame и Gauss, мы использовали sinkhole-инструментарий для наблюдения за инфраструктурами обоих ботнетов. Необходимо отметить, что структура контрольных серверов Gauss радикально отличается от структуры Flame. Контрольные центры Gauss были отключены его операторами в июле и с тех пор пребывают в «спящем» состоянии. Мы, однако, хотели пронаблюдать за происходящим в обоих ботнетах. В ходе процесса подготовки мы проинформировали о создании наших sinkhole-маршрутизаторов и их IP-адресах доверенных членов сообщества, занимающегося вопросами безопасности, чтобы они были в курсе всех предпринимаемых шагов. Пост FireEye, рассказывающий о ботах Gauss, связывающихся с тем же сервером, что и Flame, описывает, на самом деле, наш sinkhole-маршрутизатор.
Небольшой поиск в Google и Whois позволил бы это всё проверить, — добавил Гостев.
FireEye довольно оперативно опубликовали извинения по поводу случившегося недоразумения. Обознались, дескать.