Правоохранительные органы Западной Европы и США, в том числе Европол и ФБР, нанесли скоординированный удар по Gameover, захватив серверы и нарушив работу ботнета. По имеющимся данным, эта бот-сеть использовалась также для распространения блокера-шифровальщика CryptoLocker. В двух штатах выдвинуты обвинения против 30-летнего россиянина, предполагаемого оператора ботнета и автора Gameover/ZeuS.

Как известно, Gameover является р2р-модификацией известного троянца-банкера ZeuS. Построенный на его основе ботнет оказался крепким орешком для исследователей и блюстителей правопорядка. Ботнеты с пиринговой инфраструктурой весьма устойчивы к попыткам ликвидации, так как не имеют обособленных центров управления. В последние годы этот способ организации переняли многие операторы зловредов и ботоводы.

Главным назначением Gameover, как и ZeuS, является кража финансовой информации и опустошение банковских счетов. Данный банкер нередко распространяется через спам с партнерского ботнета, обычно с Pushdo/Cutwail. По оценкам исследователей, в настоящее время в состав ботнета на основе Gameover входят от 500 тыс. до 1 млн зараженных машин, четверть которых размещены на территории США. Ущерб от деятельности Gameover ФБР оценило в $100 млн.

CryptoLocker, как указано в заявлении департамента юстиции США, на настоящий момент поразил более 234 тыс. компьютеров, половина из них имеют американскую прописку. По имеющимся данным, в первые два месяца работы этого блокера его жертвы совокупно отдали вымогателям более $27 млн.

В совместной операции против Gameover и CryptoLocker помимо ФБР, Европола и EC3 (европейского центра по борьбе с киберпреступностью) приняли участие правоохранительные органы более 10 стран, включая Канаду, Австралию, Новую Зеландию, Японию и Украину. Экспертную поддержку участникам оказали Shadowserver, Abuse.ch, CrowdStrike, Microsoft, F-Secure, Level 3 Communications, McAfee, Neustar, Symantec и другие организации, а также университетские исследователи. С разрешения суда был захвачен ряд серверов, ассоциированных с Gameover и CryptoLocker, и осуществлена их подмена (sinkholing) для выявления зараженных узлов. Эта информация оперативно передается в US-CERT (американской группе быстрого реагирования на компьютерные инциденты) для распространения среди CERT заинтересованных стран с тем, чтобы через интернет-провайдеров наладить оповещение зараженных и помочь им в очистке.

«Эта масштабная и весьма успешная операция послужила отличной проверкой готовности стран — участниц ЕС к оперативным, решительным и согласованным действиям против преступных групп, занимающихся кражей информации и денежных средств на территории ЕС и по всему миру», — заявил глава ЕС3 Трулс Уртинг (Troels Oerting).

US-CERT и британское агентство по борьбе с преступностью (NCA) также опубликовали предупреждения в отношении Gameover, в которых приведены краткая характеристика данной угрозы и рекомендации по защите.

ФБР разыскивает жителя Анапы Евгения Богачева, предполагаемого ботовода и автора ZeuS, а также Jabber- и р2р-модификации этого зловреда. По утверждению ФБР, Богачев использует сетевые псевдонимы Slavik, Pollingsoon и Lucky12345. Американские власти обвиняют Богачева в преступном сговоре, мошенничестве с использованием проводной связи, взломе компьютеров, банковском фроде и отмывании денег. Его также считают ответственным за техподдержку схемы вымогательства с помощью CryptoLocker.

К сожалению, метод sinkholing — не очень эффективное средство подавления ботнета, а в случае с р2р-сетью и подавно. Практика показывает, что ботоводы достаточно быстро находят замену потерянным серверам и производят обновление. В своем алерте британское NCA призывает пользователей произвести очистку от Gameover в течение двух недель. Вице-президент по ИБ-исследованиям Trend Micro Рик Фергюсон (Rik Ferguson) полагает, что британцы не успеют воспользоваться этим шансом: ботоводы отреагируют гораздо быстрее. «Конечной целью действий правоохранительных органов является предотвращение обмена между зараженными компьютерами, что должно значительно ослабить криминальную инфраструктуру, — поясняет эксперт. — Хотя такой удар эффективен, он окажет лишь непродолжительное воздействие. Наш опыт подсказывает, что вредоносные сети способны полностью восстановиться за несколько недель или даже суток».

Следует также заметить, что это не первая совместная акция исследователей и блюстителей порядка против ZeuS. Два года назад Microsoft заблокировала несколько C&C-серверов ZeuS, но добилась лишь временной дестабилизации соответствующих ботнетов. Исследователи даже не ставили задачу эффективно вывести хотя бы часть ZeuS-империи из строя, так как масштабы ее слишком велики, а лики многообразны.

Категории: Другие темы