Panda: Подробности ликвидации ботнета Mariposa

Panda: Подробности ликвидации ботнета Mariposa

Компания Panda Security совместно с компанией Defence Intelligence и международными правоохранительными органами провели расследование кибер-преступления. Несколько организаторов крупной бот-сети Mariposa были арестованы.

Компании Panda Security и Defence Intelligence сообщили, что ботнет Mariposa был ликвидирован. Напомним, что в конце прошлой недели стало известно о том, что организаторы этого ботнета были задержаны испанской полицией, работавшей в сотрудничестве с ФБР США.

С помощью Mariposa мошенники осуществляли кражу регистрационных данных пользователей социальных сетей, онлайновых почтовых сервисов, а также банковские реквизиты и реквизиты кредитных карт. Преступникам удалось инфицировать 12,7 миллионов персональных, корпоративных, правительственных и образовательных хостов более чем в 190 странах мира. От этой бот-сети пострадали до 50% компаний, входящих в список Fortune 1000 (это список тысячи самых крупных компаний США по версии журнала Fortune). По предварительным оценкам нанесенный ущерб исчисляется миллионами долларов.

Ботнет Mariposa был ликвидирован 23 декабря 2009 года благодаря совместным усилиям различных экспертов в области безопасности и права из Panda Security, Defence Intelligence, ФБР и испанских правоохранительных органов (Guardia Civil).

Сеть Mariposa стала одной из самых крупных зарегистрированных бот-сетей. Первым её обнаружил Кристофер Дэвис, исполнительный директор Defence Intelligence. Он отмечает: "Было бы проще составить список компаний из Fortune 1000, которые не подверглись заражению, чем тех, чья информация была украдена".

Сразу после обнаружения Mariposa в мае 2009 года создали рабочую группу Mariposa. Ее возглавили Panda Security, Defence Intelligence и Georgia Tech Information Security Center. Эти компании начали сотрудничать с другими международными экспертами в области безопасности и права, чтобы уничтожить бот-сеть и наказать её организаторов. В итоге главный бот-мастер по прозвищу "Netkairo" или "hamlet1917", а также его ближайшие партнеры-операторы бот-сети "Ostiator" и "Johnyloleante" были арестованы.

"Вновь, благодаря совместным усилиям различных международных и национальных правоохранительных органов и индустрии интернет-безопасности, мы смогли устранить глобальную кибер-угрозу", - сказал Хуан Салом, командир подразделения по борьбе с кибер-преступлениями в составе испанской полиции (Guardia Civil).

По словам представителя CDmon, интернет-провайдера, в сети которого были размещены домены преступников: "Мы очень гордимся тем, что смогли принять участие в этой международной операции и помочь в отключении бот-сети. Проведенная совместная работа – это большая победа в борьбе с кибер-преступниками".

Педро Бустаманте, старший научный консультант Panda Security, отметил: "Мы чрезвычайно гордимся результатами деятельности рабочей группы Mariposa и той скоростью, с которой мы смогли раскрыть массивную бот-сеть и обезвредить ее руководителей. Однако наш предварительный анализ показал, что эти бот-мастеры не являются такими уж продвинутыми хакерами. И это особенно тревожный знак. Это доказывает, что современное ПО для распространения вредоносных кодов стало очень изощренным и эффективным. Сегодня даже неопытные кибер-преступники могут наносить пользователям серьезный вред".

В прошлом году рабочая группа Mariposa проникла в оперативную структуру управления сети Mariposa. Членам рабочей группы удалось проследить коммуникационные каналы, которыми пользовались подозреваемые бот-мастера. (По этим каналам транслируется информация, получаемая от зараженных компьютеров). Выяснилось, что преступники воспользовались теми же каналами, что и руководители бот-сетей Zeus, Conficker и Koobface и даже Google/Aurora. 23 декабря 2009 года рабочая группа ликвидировала ботнет Mariposa.

Сейчас Panda Security возглавляет группу всестороннего анализа вредоносных кодов, а также является координатором международного сообщества антивирусных компаний. Это сообщество было создано для того, чтобы гарантировать постоянное обновление сигнатур всех вендоров.

Предварительный анализ деятельности бот-сети Mariposa, проведенный Panda Security, показал:

1) Бот-мастер Mariposa устанавливал на ПК пользователей различные вредоносные коды (продвинутые кейлоггеры, банковские трояны наподобие Zeus, трояны удаленного доступа и др.). Благодаря этому мошенник мог контролировать компьютеры-зомби.

2) Чтобы зарабатывать деньги бот-мастер продавал части бот-сети, устанавливая панели типа pay-per-install (заплати-за-установку). Также преступник продавал украденные конфиденциальные данные для доступа к онлайновым сервисам, а с помощью чужих банковских данных и реквизитов банковских карт оплачивал покупки на различных сайтах.

3) Бот-сеть Mariposa особенно эффективно распространялась в сетях P2P, через USB-приводы и ссылки MSN.

Дэйв Дэйгон из Georgia Tech Information Security Center считает, что: "Вместо того чтобы составлять диаграммы, нам следует относиться к бот-сетям как к преступлению, а не как к объекту для изучения".

Рабочая группа Mariposa официально получила контроль над коммуникационными каналами, которыми пользовалась сеть Mariposa, за счет чего отрезала бот-сеть от её создателей-преступников. Вскоре после отключения бот-сети в декабре в отместку началась DDoS-атака против Defence Intelligence. Она была настолько мощной, что оказала чрезвычайно негативное воздействие на работу крупного провайдера интернет-сервисов. Многие клиенты на несколько часов лишились доступа в Интернет.

"Мы продолжим бороться с бот-сетями и стоящими за ними преступниками. - говорит Дэвис. – Мы начнем с демонтирования их инфраструктуры и не остановимся до тех пор, пока мошенники не предстанут перед судом".

Panda Security и Defence Intelligence пытаются установить контакт с пострадавшими организациями. Чтобы выяснить, не стала ли Ваша организация жертвой преступников, обращайтесь по адресам compromise@defintel.com или info@pandasecurity.com .

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь