Корпорация Microsoft осуществила очередной крупномасштабный «налёт» на ботнет: на сей раз жертвами героических (в прямом смысле и без всякой иронии) усилий стали контрольные центры нескольких ботнетов злополучного семейства Zeus.
Zeus в целом представляет собой гигантский конгломерат из вредоносных сетей; количество заражённых компьютеров, входящих в него, составляет, по некоторым оценкам, до 13 миллионов, из которых три с лишним миллиона приходятся на США.
Рождение и смерть ботнета Rustock
В середине марта ботнет Rustock прекратил работу. Его командные пункты замолчали, а потоки спама, который он рассылал, иссякли. Количество спама в интернете тут же сократилось втрое.
Его «управляющее» ПО, предназначенное для заражения новых машин и, соответственно, создания новых ботнетов, продаётся на чёрном рынке по ценам от 700 до 15 тысяч долларов, в зависимости от функциональности. Соответственно Zeus представляет целый конгломерат сетей, у которых разные владельцы, но одно и то же назначение: воровать деньги. По оценкам Microsoft, сетей, в основу которых легли разновидности трояна Zbot, насчитывается несколько сотен.
Zbot и его разновидности включают backdoor-компоненту и keylogger, который включается, как только ничего не подозревающий пользователь набирает название какого-либо финансового учреждения. Keylogger затем пересылает собранную информацию владельцу. Таким образом воруются личные данные, пароли и номера кредитных карт. Ещё в 2010 году ФБР, вместе с правоохранительными органами других стран проводившее спецоперацию против владельцев ботнетов семейства Zeus, объявило, что преступники успели обогатиться на 70 млн долларов в общей сложности.
Проблема состоит ещё и в том, что троян очень сложно обнаружить и удалить: свои присутствие и жизнедеятельность он маскирует крайне эффективно.
DDoS: услуги интернет-киллеров для всех желающих
DoS-атаками называют попытки заблокировать доступ обычных пользователей к определённым сетевым ресурсам посредством перегрузки серверов мусорным трафиком.
В 2010 году по запросу ФБР в США, Великобритании и Украине были арестованы более 100 человек. Ботнеты Zeus, однако, продолжали исправно функционировать.
За дело взялась корпорация Microsoft и её отдел по борьбе с киберпреступностью. У него уже есть весьма обширный и позитивный опыт по выкорчёвыванию ботнетов — в марте прошлого года Microsoft вывела из строя ботнеты Rustock, Waledac и Kelihos. Процедура во всех случаях выглядела по-разному, но с Rustock — так же, как с Zeus: сбор доказательств, выявление условных подозреваемых (в случае с Zeus это 39 «неустановленных лиц»), получение судебного ордера, захват (при силовой поддержке правоохранительных органов) серверов, на которых располагаются контрольные центры ботнета. С ведома и разрешения суда захвачены также 800 доменов, связанных с Zeus.
«Мы не надеемся тем самым ликвидировать все ботнеты семейства Zeus на свете. Однако вместе [с партнёрами] нам удалось нарушить работу нескольких наиболее опасных ботнетов, и мы надеемся, что это будет иметь далеко идущие последствия для киберпреступного сообщества», — указывается в блоге Microsoft Technet.com.
Любопытно, что если в случае с Rustock корпорация Microsoft прибегла к поддержке фармацевтической фирмы Pfizer (производителя «Виагры», подделки под которую через Rustock активно рекламировали спамеры), то сейчас партнёрами Microsoft оказались ассоциация операторов электронных платежей NACHA – The Electronic Payments Association и агентство FS-ISAC (Центр по распространению и анализу информации в сфере финансовых услуг). Иски к неустановленным владельцам ботнетов, известных только по никнеймам, NACHA и FS-ISAC подавали вместе с Microsoft.