21 Июля, 2012

Специалисты Group-IB отключили одну из крупнейших в мире бот-сетей Grum

Андрей Комаров


Эксперты из компании FireEye, занимающейся разработкой продуктов для информационной безопасности, совместно с российской группой по реагированию на инциденты информбезопасности CERT-GIB отключили бот-сеть Grum, считающуюся третьей по величине в мире, сообщает пресс-служба FireEye.

По данным специалистов, на пике своей активности через Grum, в котором, по разным данным, находилось от 100 до 300 тысяч зараженных компьютеров, рассылалось около 18 миллиардов мусорных сообщений в день, что примерно соответствовало 18% от мирового объема спама. Именно на такую величину, по данным компании, он сократился после того, как ночью в четверг специалистам FireEye удалось отключить серверы управления бот-сетью, расположенные в Нидерландах и Панаме.

"После закрытия сервера в Панаме большая часть бот-сети перестала быть активной. Это хорошие новости. Но были и плохие", - сказал Атив Маштак, сотрудник лаборатории по исследованию вредоносного ПО.

Плохой новостью оказалось то, что после закрытия панамского сервера управления Grum злоумышленники оперативно создали шесть резервных серверов на Украине и один в России. На этом этапе, по обращению специалистов FireEye, к операции подключились сотрудники CERT-GIB - российской группы по реагированию на инциденты информационной безопасности, созданной компанией Group-IB . Усилиями российских специалистов удалось закрыть украинские серверы, но с российским возникли проблемы.

Как сообщили РИА Новости в CERT-GIB , отключение серверов, используемых для управления бот-сетью, - нетривиальная задача. Злоумышленники арендуют готовые подсети и регистрируют их на подставные компании. Обращаться в такие организации бесполезно, так как они игнорируют все запросы. Кроме того, не всегда удается оперативно установить, что компания является подставной.
"Поэтому приходится действовать альтернативными путям и обращаться к вышестоящим провайдерам для отключения подсетей, что, конечно, занимает определенное время. Тем не менее, сейчас серверы управления Grum полностью нейтрализованы", - сказал РИА Новости представитель CERT-GIB .
Он также отметил, что говорить о прекращении ее деятельности преждевременно, поскольку организаторы бот-сети не установлены и находятся на свободе.

В CERT-GIB рассказали, что бот-сеть Grum предназначена для рассылки спама и проведения DDoS-атак. По словам экспертов, ее владелец активно участвует в различных в партнерских программах, занимающихся реализацией контрафактных медикаментов ("Виагра", "Сиалис" и пр.).
"Ранее Grum долгое время занимала первое место по объемам рассылаемого спама. Точная дата ее создания неизвестна, но есть данные, которые указывают, что бот-сеть могла быть сформирована в начале 2008 года", - сообщили в CERT-GIB .

Эксперт добавил, что создателями бот-сети, скорее всего, являются выходцы из стран бывшего СССР.
Grum стала второй крупной бот-сетью, специализировавшейся на спаме и DDoS-атаках, закрытой в последние годы. В марте 2011 года компания Microsoft совместно с правоохранительными органами США прекратила деятельность бот-сети Rustock, насчитывавшей около 800 тысяч компьютеров.
Эскалация борьбы с бот-сетями, наблюдающаяся в последние годы, обусловлена огромным вредом, который они наносят интернету и его пользователям. Помимо рекламы контрафактных товаров и некачественных лекарств, злоумышленники используют спам для распространения вредоносного ПО для похищения персональных данных и электронных денег.

По данным российской антивирусной компании "Лаборатория Касперского", только в июне 2012 года доля спама в мировом почтовом трафике составила около 72%, а в среднем за 2011 год его доля составила около 80%.

Подробнее:
http://www.ria.ru/technology/20120719/703532051.html
http://blog.fireeye.com/research/2012/07/grum-botnet-no-longer-safe-havens.html
или введите имя

CAPTCHA
Александр
23 Июля, 2012
Российские специалисты закрывали украинские сервера самостоятельно или сотрудничали с украинскими CERT?
0 |