Geum.ru

Новости Информацио

Вид материалаБюллетень
Эстонский вирусописатель получил два года
Половине ZeuS-ботов отключили "головы"
Подобный материал:
1   ...   5   6   7   8   9   10   11   12   ...   25

Эстонский вирусописатель получил два года


Эстонский вирусописатель Артур Бойко сегодня получил 2,5 года тюремного заключения за создание семейства троянских кодов и сетевых червей для Windows, при помощи которых он руководил работой бот-сети, провоцировавшей DDoS-атаки на разнообразные сетевые ресурсы. В заключении суда говорится, что 44-летний Бойко признается виновным в разработке сетевого червя Allaple.

По условиям вынесенного приговора, он получил два года и семь месяцев тюрьмы, причем после этого срока он будет находиться под постоянным надзором полиции. Сам обвиненный своей вины не признал. Тем не менее, суд постановил, что первый вредоносный код Бойко создал еще в конце 2006 года, тогда же он организовал первую масштабную DDoS-атаку против одной из страховых компаний.

Позже при помощи этой же бот-сети атаковались ресурсы эстонского интернет-провайдера Starman. С технической точки зрения червь и созданные ими компьютеры-зомби действовали довольно прямолинейно, они просто закидывали серверы запросами SYN на установление соединения с компьютеров, что приводило к блокировке серверов.

В 2007 году сам Артур Бойко и его бот-сеть попала в поле действия SANS Internet Storm Centre, откуда впервые связались с эстонским правительством и доложили о ситуации.

Последние 19 месяцев Бойко уже провел за решеткой в ожидании решения суда, обвинившего его в создании нескольких версий червя Allaple. Согласно решению суда, кроме заключения, Бойко также предстоит выплатить около 450 000 долларов эстонскому страховщику IF Insurance и около 130 000 долларов провайдеру Starman в качестве возмещения вреда.

www.cybersecutiry.ru


12.03.10 01:03

Половине ZeuS-ботов отключили "головы"


Игорь Крейн

Швейцарский эксперт по безопасности Роман Хюссе (Roman Hüsse), наблюдающий за активностью ZeuS-ботнетов при помощи системы слежения ZeuS Tracker, отмечает резкое уменьшение количества контролирующих центров этих сетей. Этот феномен Хюссе связывает с отключением провайдера Troyak-as.

9 марта количество активных контролирующих центров ZeuS-ботнетов упало с 249 до 181, а 11 числа их и вовсе осталось лишь 104. Соответственно снизилась и активность "обезглавленных" ботнетов.

Проанализировав "выпавшие" из учёта ботнеты, Хюссе пришёл к выводу, что все их контролирующие центры хостились у нескольких провайдеров, которые выходили в Сеть через автономную систему TROYAK-AS Starchenko Roman Fedorovich (AS50215). Эти провайдеры в терминологии ZeuS Tracker считались "пуленепробиваемыми", что на практике означает, что их нельзя убедить перекрыть кислород недобросовестным клиентам.

По состоянию на 9 марта Хюссе привёл список из шести низлежащих автономных сетей, три из которых, судя по IP-адресам, находятся в Молдове, две в России и ещё одна – на Украине. В каждой из них нашли свой приют от 5 до 18 контролирующих центров.

Как отмечалось выше, 11 марта признаки жизни перестали подавать более 140 ZeuS-ботнетов. По словам Хюссе, имевшего чат с журналистом Брайаном Кребсом (Brian Krebs), обычно одна ZeuS-сеть состоит из 20-50 тысяч ботов. Но даже если исходить из 10 тысяч, легко подсчитать, что речь идёт о полутора миллионах зараженных компьютеров, которые перестали получать команды от своих контролирующих центров.

За эти два дня Troyak успел объявиться в Сети, подключившись к новому провайдеру, снова выпасть и опять показаться на плаву. Доступ ему сейчас предоставляет не кто-нибудь, а ОАО "РТКомм.РУ", дочка "Ростелекома".

Несмотря на это, хостеры контролирующих центров ZeuS-ботнетов до сих пор в отключке. Хюсси считает, что пастухам пострадавших зомби-сетей уже не удастся восстановить контроль над ними. По его мнению, имея "пуленепробиваемых" провайдеров, они вряд ли задумывались над необходимостью держать резервные серверы.

С другой стороны, как считает независимый эксперт по кибербезопасности Данчо Данчев, радоваться особо нечему. Поднять новый ZeuS-ботнет в экономическом плане куда проще, чем восстановить контроль над старым, говорит Данчев, так что отключение провайдера не может нанести серьёзный удар по самой бизнес-модели преступников.

Имеется, впрочем, ещё один аспект. ZeuS-ботнеты обычно пополняются за счёт спам-рассылок с вредоносными ссылками. Однако, по данным Энди Фрида (Andy Fried) из компании Deteque, спам, имеющий отношение к ZeuS, неожиданно прекратился 27 февраля и до сих пор не возобновлялся. Причины этого пока неизвестны.

Напомним, что ZeuS – это хакерский инструментарий, который можно приобрести на чёрном рынке и, при наличии небольшой фантазии, развернуть с его помощью собственную зомби-сеть. Трояны ZeuS специализируются на краже логинов и паролей, при этом преступников обычно интересуют пароли к системам онлайн-банкинга. Знающим английский рекомендуется изучить PDF-отчёт по ZeuS, подготовленный недавно компанией Trend Micro.

Обновлено в 11:00 Ситуация меняется буквально на глазах. После подключения Troyak через РТКомм многие потерянные ботнеты вернулись к своим "хозяевам". По последним данным статистики, количество активных серверов с командными центрами выросло до 194.

Владелец Troyak Роман Старченко пояснил журналистам The Register, что причиной всех этих пертурбаций финансовая – по рассеянности он забыл вовремя оплатить услуги своему провайдеру. Он также заметил, что знает о том, что услугами его клиентов могут пользоваться "пастухи" ботнетов, но никаких шагов в этой связи он не предпринимал и не будет, пока не получит хоть какое-то письмо от правоохранительных органов своей страны. Судя по всему, речь идёт о Казахстане.

Между тем, на данный момент Старченко, похоже, успел опять сменить провайдера – на JSC Nline (AS25189). Сам же он сейчас предоставляет провайдерские услуги только для одной сети. Все шесть упомянутых ранее недобросовестных клиентов Troyak сейчас, похоже, не при делах, так что вполне возможно, что большинство "пастухов" успели перетащить командные центры на серверы других хостеров.

www.webplanet.ru


12.03.10 12:18