Компания FireEye, занимающаяся вопросами сетевой безопасности, объявила, что ей удалось ликвидировать ботнет Grum, который в FireEye назвали третьим по размеру мировым поставщиком спама. Grum — очень старый, по нынешним меркам, ботнет: ранние версии его командных серверов так или иначе проявляли себя ещё в 2008 году. К моменту своей ликвидации он генерировал порядка 18 миллиардов спам-сообщений ежедневно (17,4 процента от мирового объёма никому не желательной почты про фальшивую виагру и поддельные часы Rolex).
Ботнет в основном контролировался тремя командными серверами — в Голландии, в Панаме и в России. 16 июля «пал смертью подлых» голландский сервер. Затем наступила очередь сервера в Панаме. С ним тоже особых проблем не было. Проблемы начались сразу после этого: операторы ботнета оперативно состряпали два контрольных сервера на территории Украины.
«Украина давно считается безопасной гаванью для владельцев ботнетов, закрыть там какие-либо сервера всегда было непростой задачей», — пишет сотрудник FireEye Атив Муштак.
Тем не менее FireEye удалось заручиться поддержкой участников таких проектов, как Spamhaus и российская CERT-GIB. Те быстро передали информацию нужным людям на Украине и в России.
Повезло: украинские серверы «пришпилили» гораздо быстрее, чем можно было ожидать.
Последний контрольный сервер закрыть удалось не сразу.
«Основной сервер, расположенный в России, его провайдер GAZINVESTPROEKT LTD. закрывать отказался. В результате нужный IP-адрес в конечном счёте заблокировал провайдер, предоставлявший услуги ГазИнвестПроекту», — пишет Муштак.
Провайдер с таким названием обнаружился во Пскове.
Поток спама, исходящего от ботнета Grum, немедленно снизился, и есть надежда, что скоро он иссякнет полностью.
Последние два года были ознаменованы крупномасштабными операциями против крупнейших ботнетов: ликвидированы Rustock (при непосредственном участии FireEye и Microsoft), Zeus и Kelihos (опять же атаку — техническую и юридическую — возглавила Microsoft). Российская компания Dr. Web нейтрализовала весной этого года крупный ботнет, сформированный файловым вирусом Win32.Rmnet.12, насчитывавший около полутора миллиона заражённых машин.
Полку разгромленных ботнетов прибыло.