Порочный круг

image

Теги: троян, ботнет, ZeuS, RSA, провайдер

  Исследование, проведенное RSA в связи с попытками изоляции интернет-провайдера Troyak, показало, что он является одним из элементов криминальной инфраструктуры, обеспечивающей "пуленепробиваемый" хостинг владельцам ботнетов ZeuS.

Исследование, проведенное RSA в связи с попытками изоляции интернет-провайдера Troyak, показало, что он является одним из элементов криминальной инфраструктуры, обеспечивающей "пуленепробиваемый" хостинг владельцам ботнетов ZeuS.

По свидетельству RSA, восточноевропейские цитадели ZeuS, которые пытается повергнуть интернет-сообщество, размещены на Украине, в России, Молдове и Казахстане. Помимо C&C ботнетов упомянутого зловреда, в одиозных сетях хостятся управляющие серверы троянца Gozi, репозитории фишинговой группировки RockPhish, а также продвигаемые в спаме страницы с эксплойтами, псевдоантивирусами, Backdoor.Win32.Sinowal и зазывной рекламой работодателей, вербующих агентов по отмыванию денег.

В результате двухнедельного противостояния в Рунете 10 хостинг-провайдеров, обслуживавших грозного олимпийца, лишились связи с интернетом, а с ними и половина действующих центров управления ZeuS.

После того, как несколько телеоператоров заблокировали доступ Troyak к Сети, его клиенты занялись поисками других каналов, открывая исследователям карту за картой. Как оказалось, бесперебойную работу центра управления ботнетом обеспечивает разветвленная система маршрутизации трафика. Хостинг-провайдеры, давшие приют командным серверам ZeuS, осуществляют выход в интернет через ряд маскировочных сервисов, подобных Troyak. Эти транзитные сети взаимосвязаны, и каждая из них пользуется услугами нескольких легальных интернет-провайдеров. Таким образом, при сбое одного или нескольких элементов инфраструктуры у владельца "бронированного" хостинга всегда есть под рукой альтернативный канал.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus