Компания Microsoft засвидетельствовала кончину ZeroAccess. Спустя две недели после перехвата контроля над click-fraud-инфраструктурой этого ботнета ведущий юрист отдела MS по расследованию цифровых преступлений (Digital Crimes Unit, DCU) Ричард Боскович (Richard Boscovich) заявил, что операторы ZeroAccess покинули свой тонущий корабль.

Когда репрессивная акция Microsoft получила огласку, некоторые эксперты открыто усомнились в ее эффективности. Они прогнозировали, что действия борца с ботнетами лишь на время приостановят такую активность ZeroAccess, как накрутка кликов (click fraud), загрузка других зловредов и т.п., так как внутренние коммуникации ботнета не пострадали. И действительно, ботоводам хватило суток, чтобы оправиться от удара, загрузить на сеть другой конфигурационный файл и возобновить операции.

Однако Microsoft и ее зарубежные партнеры смогли вовремя обнаружить этот ход, а также отследить и быстро заблокировать новые IP-адреса при поддержке германской полиции (Bundeskriminalamt, BKA). «В ответ на оперативные действия BKA ботоводы раздали на зараженные компьютеры еще одно обновление, включающее фразу «WHITE FLAG» («белый флаг»), которую мы восприняли как символ сдачи противника, — рассказывает Боскович. — После этого не было зафиксировано ни одной попытки обновления кода со стороны ботоводов. В результате данный ботнет больше не используется для совершения мошеннических действий».

Одним из тех, кто наиболее открыто критиковал подход Microsoft, был Ясин Наджи (Yacin Nadji) из Damballa. На днях этот исследователь заявил Threatpost, что не считает «WHITE FLAG» знаком капитуляции. «По нашим наблюдениям, канал связи [ботнета] все еще функционирует, — поясняет Наджи. — Фраза «WHITE FLAG» просто означает, что ботоводы могут связываться с инфицированными узлами, когда им заблагорассудится. При всей той шумихе, которую подняли СМИ вокруг ZeroAccess, поспешный возврат к прежней активности был бы просто неразумным с точки зрения ботовода. Проблема в том, что данный ботнет может в любой момент возобновить свою вредоносную деятельность, коль скоро р2р-коммуникации не были нарушены».

Наджи вторит Бретт Стоун-Гросс (Brett Stone-Gross), старший эксперт Dell SecureWorks: «Ботоводам не составит труда восстановить click-fraud-функции своей сети. Они могут просто раздать по р2р-каналу новые модули или других зловредов и конфигурационные файлы, когда им это заблагорассудится».

Напомним, в начале декабря Microsoft, ФБР, A10 Networks, Европол и правоохранительные органы нескольких европейских стран нанесли скоординированный удар по ботнету, в состав которого входят около 2 млн зараженных машин. Microsoft обратилась в суд и получила разрешение на блокировку трафика, которым местные боты обменивались с 18 зарубежными IP-адресами, а также на захват 49 доменов, ассоциированных с ZeroAccess.

Категории: Другие темы