Знищили один із найбільших ботнетів у світі

20 липня 2012, 18:48

Ботнет, звісно, виглядає не так. У нього немає ріжків-антенок. Фото: wintech.net.ru

Фахівці компанії FireEye стверджують, що виявили і відключили командні сервери спам-ботнету Grum. Сервери були розташовані в Нідерландах, Панамі, Росії та Україні.

У понеділок був закритий один з голландських серверів. У вівторок панамські сервери були виведені з-під контролю ботоводів, проте спамерам вдалося підняти два нових командних вузла в Україні. Незважаючи на це, ботнет вдалося добити вранці в середу завдяки сприянню Фахівців SpamHouse, CERT-GIB і анонімного хакера під ніком Nova7, які через свої контакти в Росії та Україні оперативно передали всю необхідну інформацію провайдерам, в мережах яких знаходилися командні сервери.

"Я радий повідомити, що після трьох днів зусиль, ботнет Grum, нарешті, повалено, - ділиться представник команди спамоборців в офіційному блозі FireEye. - Всі відомі команди та центри управління серверами мертві. Як це все сталося - довго розповідати, тому пройдуть по основному.

ЧИТАЙТЕ ТАКОЖ: "Нігерійське шахрайство" обгрунтували по-математичному

Ботнет Грум за останній час суттєво змінився. 16 липня я повідомив, що закриття голландського сервера, у крайньому разі, зробило "вмятину" у цій бот-мережі, адже управління серверів в Панамі і Росії було ще живе. Вранці 17 липня я отримав звістку про те, що сервер в Панамі вже не активний. Власники сервера нарешті підігнулися під суспільним тиском. Це була хороша новина. Адже Grum складався з двох різних сегментів: один з них контролювався з Панами, інший - з Росії.

Із закриттям панамського сервера, сегмент помер назавжди. За цією хорошою новиною прийшли погані. Побачивши, що панамський сервер закритий, "боти-пастухи" швидко зорієнтувалися, і вказали іншим центрам управління на вторинні сервери, що знаходились в Україні.

ЧИТАЙТЕ ТАКОЖ: Україна увійшла до топ-15 кібернебезпечних країн світу

Так що в якийсь момент я думав, що все, що потрібно було - це просто вирубати один російський сервер. Але прямо перед моїми очима, "боти-пастухи"переспрямувати бот-мережу на нові напрямки. Мушу визнати, на мить я був приголомшений. Україна вже колись става притулком для "ботів-пастухів", і закриття будь-яких серверів там завжди давалось важко".

Ботнет Grum працював з 2008 року. За даними SpamHouse, на момент закриття ботнет активно розсилав спам зі 120 000 IP-адрес. Після блокування командних серверів їх залишилося трохи більше 20000. Залишки ботнету виконують останні завдання, отримані до блокування, і їх активність незабаром повинна зійти нанівець. За словами співробітника FireEye Атіфа Муштак, вірус Грум влаштований так, що комп'ютери-зомбі, які втратили зв'язок з одним командним сервером, не можуть підключитися до іншого. Так що швидко відновити ботнет, як це часто бувало з іншими мережами, спамери не зможуть.

Ботнет - мережа інфікованих комп'ютерів, з яких масово відбувається незаконна діяльність: розсилання спам-листів, перебір паролів, атаки на сервери чи крадіжка користувацької інформації.

інтернет ботнет спам

Останні матеріали