Несмотря на потери в своих рядах, хакерская группировка Lizard Squad, известная своими массированными DDoS-атаками, не собирается сворачивать деятельность. Злоумышленники, как известно, стояли за атакой на сети Microsoft Xbox Live и Sony PlayStation Network. Нападению подверглось также Национальное агентство по борьбе с преступностью Великобритании — в качестве расплаты за арест несовершеннолетнего лидера ОПГ и еще нескольких членов группировки. Для организации DDoS-атак злоумышленники используют обширный ботнет из зараженных роутеров, всегда имея наготове армию «зомби». Однако оказалось, что группа «хороших» хакеров решила бороться с ними своими собственными методами.

Члены анонимной группировки White Team решили вышибать клин клином: они создали собственный P2P-ботнет и «заражают» уже зараженные хакерами из Lizard Squad роутеры собственным ПО, которое латает незакрытые уязвимости в прошивке маршрутизаторов, регулярно обновляется и «вычищает» обнаруженные в системе вредоносные программы. В прошлом году ботнет подобных «санитаров леса» состоял из 10 тыс. роутеров, сейчас же количество «инфицированных» устройств возросло до 50 тыс. (по некоторым данным, 70 тыс.).

Несмотря на благородную цель, «белые» хакеры столкнулись с противостоянием со стороны как ИБ-сообщества, так и преступников. Эксперты не одобряют практики, используемые White Team (по определению они нелегальны), а Lizard Squad забрасывают их издевательскими письмами.

Злоумышленники из Lizard Squad в анонимном интервью Forbes заверили, что их ботнет состоит более чем из 150 тыс. зараженных устройств, среди которых не только компьютеры и маршрутизаторы, но и «умные» холодильники и другие IoT-устройства, и поэтому действия White Team им не помеха. Последние же уверены, что у них все получится и они смогут «вытеснить» преступников с зараженных устройств.

Технически это будет непростая задача, учитывая, что программа, используемая для «дезинфекции» зараженных устройств, слишком неповоротлива для роутеров: она сравнивает файлы, обнаруженные на маршрутизаторе, с полной библиотекой сигнатур, которая занимает целых 40 Гбайт, — а такой файл слишком велик, чтобы внедрять его в прошивку роутера. В то же время White Team не хочет арендовать сервер: во-первых, с запросами к нему могут одновременно обращаться 400 тыс. IP-адресов, а во-вторых, таким образом правоохранители смогут выявить группировку, и анонимности придет конец.

Lizard Squad тоже не сидит без дела: хакеры заявили, что вскоре представят новый сервис в дополнение к уже существующему Lizard Stresser, при помощи которого можно организовать DDoS-атаку по заказу. Загрузчик, который собираются предлагать злоумышленники, дает покупателю контроль над ботнетом и возможность организовывать атаки против кого угодно в любое время. Учитывая нарастающую популярность кампаний, в которых DDoS-атака используется с целью вымогательства, инструмент, доступный по подписке за $10 в месяц, имеет шансы стать популярным среди киберпреступников. Скорее всего, White Team следует поторопиться.

Это не первый случай, когда неизвестные хакеры решают бороться своими методами против киберпреступников. Усилиями неизвестного «благородного разбойника» часть инфраструктуры банкера Dridex была взломана. Теперь при переходе по «вредоносным» ссылкам пользователь попадает на загрузчик антивируса Avira. Представители Avira заявили о своей непричастности, притом по вполне понятной причине: во многих странах, в том числе США и Великобритании, такие методы, даже при благородных намерениях, считаются преступлением. На данный момент White Team утверждает, что не имеет проблем с законом. «Они пока либо не смогли, либо не захотели найти нас: нам весьма трудно предъявить какие-либо обвинения в нарушении закона», — признались члены группировки.

Категории: DoS-атаки, Вредоносные программы, Кибероборона, Хакеры