Ликвидирован третий по величине ботнет мира — Grum

19 июля 2012 года

Специалисты калифорнийской компании FireEye, занимающейся разработкой продуктов для информационной безопасности, совместно с российской группой по реагированию на инциденты информбезопасности CERT-GIB и британской организацией SpamHaus отключили ботнет Grum, считающийся третьим по величине в мире, сообщает РИА «Новости».

Ботнетом, напомним, называют сеть, состоящую из хостов с запущенными на них «ботами» (сокращение от слова «робот») - автономным программным обеспечением. Чаще всего бот в составе бот-сети является программой, скрытно устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов зараженного компьютера.

Ботнеты используют для разного рода нелегальной или нежелательной деятельности: рассылки спама, перебора паролей на удаленной системе, атак на отказ в обслуживании (DDoS) и т.п. Атаки ботнетов способны вывести из строя не только крупные интернет-ресурсы, но и целые сегменты Сети.

На пике активности через Grum, в котором, по разным данным, находилось от 100 до 300 тысяч зараженных компьютеров, рассылалось около 18 миллиардов мусорных сообщений в день, что примерно соответствовало 18% от мирового объема спама. Именно на такую величину, по данным компании, он сократился после того, как ночью в четверг специалистам FireEye удалось отключить серверы управления бот-сетью, расположенные в Нидерландах и Панаме.

Правда, по данным газеты The New York Times, почти сразу после разгрома Grum, случившегося рано утром 19 июля, киберпреступники создали семь новых центров управления и контроля в России и на Украине.

На этом этапе, по обращению специалистов FireEye, к операции подключились сотрудники CERT-GIB - российской группы по реагированию на инциденты информационной безопасности, созданной компанией Group-IB. Усилиями российских специалистов удалось закрыть украинские серверы, но с российским возникли проблемы.

Как рассказали агентству в CERT-GIB, отключение серверов, используемых для управления бот-сетью, - нетривиальная задача. Злоумышленники арендуют готовые подсети и регистрируют их на подставные компании. Обращаться в такие организации бесполезно, так как они игнорируют все запросы.

Кроме того, не всегда удается оперативно установить, что компания является подставной. Поэтому приходится действовать альтернативными путями и обращаться к вышестоящим провайдерам для отключения подсетей, что, конечно, занимает определенное время.

Представитель группы также отметил, что говорить о прекращении деятельности ботнета преждевременно, поскольку организаторы не установлены и находятся на свободе.

Ранее в этом году сотрудник Microsoft помогал государственным организациям осуществить рейд на сервера ботнета в Пенсильвании и Иллинойсе. Эти серверы используются преступниками для запуска Zeus - ботнета, который скачивает с зараженных компьютеров такую ценную личную информацию, как пароли интернет-банкинга и номера кредитных карт.

Почти одновременно другая группа специалистов по борьбе с киберпрестуностью в Сан-Франциско устранила еще один ботнет - Kelihos.b, который использовался для рассылки спама.

Тем не менее эксперты полагают, что победа над тем или иным крупным ботнетом носит временный характер. Так, блокада Kelihos.b длилась менее недели, после чего начала функционировать обновленная версия сети, то же самое часто происходит и в других аналогичных случаях.

На этот раз, впрочем, специалисты из FireEye говорят, что возродить Grum будет нелегко. По их словам, авторам бот-сети придется начинать с нуля и заражать сотни тысяч машин заново, потому что боты Grum не способны перейти на новый командный сервер после того, как старый вышел из строя.