Новости Информационной

Вид материала

Бюллетень

Содержание ZeuS Tracker вырубил 9 российских "пуленепробиваемых" хостеров

Подобный материал:

• Новости Информационной, 955.99kb.
• Новости Информационной, 1386.56kb.
• Новости Информационной, 1315.55kb.
• Новости Информационной, 1058.97kb.
• Новости Информационной, 1195.66kb.
• Новости Информационной, 1268.45kb.
• Новости Информационной, 1016.22kb.
• Новости Информационной, 1001.26kb.
• Новости Информационной, 1203.15kb.
• Новости Информационной, 1112.81kb.

24.01.11 15:05
^

ZeuS Tracker вырубил 9 российских "пуленепробиваемых" хостеров

Игорь Крейн

При активном участии эксперта по кибербезопасности Романа Хюссе (Roman Hüsse) в этом месяце ссылка скрыта 9 "пуленепробиваемых" российских автономных систем, в которых нашли пристанище десятки контролирующих центров ZeuS-ботнетов. Кроме того, в январе были уложены ещё 5 украинских "пуленепробиваемых" хостеров.

Хюссе специализируется на ZeuS-ботнетах: его сервис ZeuS-трекер известен по всему миру. В марте прошлого года в поле зрения Хюссе попал хостинг-провайдер VLine Telecom (AS39150), который начал предоставлять услуги неким лицам, использовавшим мощности провайдера для размещения центров управления ZeuS-ботнетами.

По данным ZeuS-трекера, в прошлом году через VLine Telecom осуществлялось управление более чем 140 ботнетами. И это лишь если учитывать непосредственный хостинг, потому что VLine также начал перенаправлять трафик ряду автономных систем, которые, как считает Хюссе, оказались "самыми худшими преступными сетями в мире".

По каждой из этих AS имеется весьма неприглядная запись в Spamhaus. Репутация Spamhaus далеко не безупречна, здесь порой ссылка скрыта в чёрные списки целые страны, однако от деятельности этой организации бывает и положительный эффект. Так случилось и на этот раз, после того как в конце ноября минувшего года Spamhaus занёс в черные списки питерский GlobalNet. VLine Telecom в то время подключался к Сети именно через этого провайдера.

Вполне естественно, что в GlobalNet зашевелились. Хюссе также вышел на контакт с питерцами в декабре; по его словам, GlobalNet сперва отказался отключать VLine Telecom, ссылаясь на российские законы, однако, изучив предоставленные швейцарским экспертом улики, заблокировал нехорошие IP-адреса. (Информация уточнена — см. примечания в конце текста.)

В конце декабря, когда выяснилось, что VLine Telecom не принимает никаких мер, в том числе профилактических, в отношении центров управления ботнетами, GlobalNet по просьбе Хюссе надавил на этого провайдера. В результате VLine Telecom отключил одного из "пуленепробиваемых" хостеров.

Победу, однако, праздновать было рано. В начале января VLine Telecom внезапно ушёл от GlobalNet к Федеральной университетской компьютерной сети России RUNNet вместе со всеми низлежащими преступными хостерами. Кроме того, VLine Telecom вышел на связь с Хюссе и попросил впредь обращаться к нему напрямую со всеми подобными жалобами.

Хюссе "решил дать им шанс" и приложил к ответному письму подробный список всех нарушителей с описанием их деятельности. VLine Telecom тут же отреагировал, заверив швейцарца, что все 9 нарушителей отключены от Сети. Как выяснилось через несколько часов, в действительности эти сети перестали быть видны с IP-адреса Хюссе, а кроме того, ими блокировался и трафик с ZeuS Tracker.

Тогда Хюссе, по его признанию, разозлился и вышел на связь с RUNNet. Там за один час вникли в ситуацию и прекратили транзитить VLine Telecom. А ещё через 4 минуты VLine Telecom написал в RUNNet и Хюссе о перекрытии кислорода всем 9 проблемным автономным системам.

В настоящий момент VLine Telecom опять подключился к GlobalNet, при этом, по данным Хюссе на 22 января, ни один из 9 "пуленепробиваемых" хостинг-провайдеров не поднялся. Эксперт считает это серьёзным успехом, хотя и уверен, что в действительности VLine Telecom также следовало наказать полным отключением.

Он, правда, отмечает, что, по его ощущениям, в VLine Telecom иногда "не знали, что они делали (с технической точки зрения), и... не понимали, что я хотел им сказать (языковая проблема)". В то же время Хюссе выражает благодарность GlobalNet и RUNNet и – наполовину в шутку, наполовину всерьёз – заявляет, что главным уроком, который он вынес из этой истории, является осознание того, что "не каждый русскоговорящий парень – киберпреступник".

Начальник IT-отдела ООО "Вилайн Телеком" Алекей Трушников прокомментировал "Вебпланете" своё видение ситуации. На вопрос о том, действительно ли его компания и/или её клиенты предоставляли или предоставляют хостинг для центров управления ZeuS-ботнетами, он ответил отрицательно:

"Нет, но, как и у любого провайдера, некоторые клиенты не могут следить за своими серверами и оперативно проверять их на вирусы, на данный момент мы совместно с клиентами занимаемся проверкой и в случае обнаружения каких-либо вирусов, их удалением".

Иными словами, по мнению Трушникова, речь идёт не о сознательном предоставлении хостинга преступникам, а о заражении серверов клиентов "Вилайн Телекома".

Он также подтвердил, что администратор ZeuS Tracker связывался с его компанией и что они вместе "решали данные проблемы по обнаружению вирусов и их удалению". Факт отключения от GlobalNet Трушников отрицает, однако подтвердил, что RUNNet их отключил.

По мнению Трушникова, это "показывает их (т.е. RUNNet-а) неадекватность, неумение работать с клиентами и незаинтересованность в продолжении развития своего бизнеса и клиентской базы". Трушников считает, что с вирусами в Интернете действительно надо бороться, однако не такими мерами, какие приняли в RUNNet в отношении "Вилайн Телекома"; это, во-первых, является нарушением договорных обязательств, а во-вторых, неэтично.

Стоит отметить, что если боты ZeuS действительно появляются вследствие заражения пользовательских компьютеров, то того, чтобы "вирусы" заражали серверы и поднимали на них центры управления ZeuS-ботами, эксперты "Вебпланеты" не смогли припомнить.

Так или иначе, а с очищением VLine Telecom количество активных контролирующих центров ZeuS-ботнетами сократилось на треть. В качестве приятного бонуса некоторое время назад Хюссе стало также известно об отключении украинского провайдера OnlineNet (ONLINENET SPD Andreychuk Andrey Alekseevich, AS50722), предоставлявшего услуги по транзиту для пяти "пуленепробиваемых" хостеров.

Напомним, что в марте прошлого года количество активных ZeuS-ботнетов ссылка скрыта, после того как из Сети выпала автономная система Troyak, транзитившая шесть "пуленепробиваемых" хостеров из Молдовы, России и Украины. Однако владелец Troyak тогда заявил, что никто его не отключал из-за "вирусов" — просто он забыл вовремя оплатить услуги своему провайдеру.

(Обновлено 26.01.2011 в 12:25) Технический директор компании GlobalNet Владимир Веденеев уточнил несколько моментов.

Так, он утверждает, что Spamhaus занёс его компанию в свои "чёрные списки" без каких-либо предупреждений. GlobalNet вступил в длительную переписку с представителями этого сервиса, в ходе которой Spamhaus просил отключить Vline целиком, а GlobalNet просил привести какие-то доказательства того, что Vline "плохой". В качестве "доказательств" Spamhaus привёл ссылки на свой же сайт. В Vline при этом говорили, что им ни о чём таком неизвестно.

Затем, по словам Веденеева, к этим разборкам действительно подключился Хюссе, который "очень адекватно и быстро показал, что за "плохой" оператор к нам подключен и что за проблемные сайты у него размещены". В результате GlobalNet начал блокировать все IP-адреса из списка, предоставленного швейцарским экспертом.

Веденеев также опроверг информацию Хюссе об отключении Vline, а также о давлении на эту компанию. В действительности, GlobalNet не прекращал сотрудничать с Vline, а только блокировал "нехорошие" IP и сообщал об этом своему партнёру. Vline же в какой-то момент параллельно подключился к RUNNet, поэтому все заблокированные "ГлобалНетом" IP-адреса снова стали видны.

(Обновлено) По имеющимся у "Вебпланеты" данным, GlobalNet всё-таки решил прекратить оказывать услуги по транзиту для Vline Telecom, поскольку Spamhaus полагает, что одними ZeuS-ботнетами проблемы "Вилайна" отнюдь не ограничиваются. "Вилайн" удерживает связь с внешним миром через других операторов.

www.webplanet.ru


29.01.11 16:06