В продолжение крестового похода против ботнетов софтверный гигант из Редмонда, правоохранительные органы и специалисты по сетевой безопасности предприняли попытку нейтрализовать печально известную сеть, построенную на основе ZeroAccess.

ZeroAccess, или Sirefef, как его нарекла Microsoft, представляет собой программную платформу, атакующую наиболее популярные веб-браузеры и поисковые системы. Основными функциями ZeroAccess являются подмена результатов поисковой выдачи с целью перенаправления пользователей на угодные ботоводам сайты и накрутка кликов. Более того, он способен приносить хозяевам прямой доход, загружая на машины жертв генератор биткойнов. По новейшим оценкам, в состав основанного на ZeroAccess ботнета входят порядка 2 млн зараженных машин, из-за активности которых рекламные компании ежемесячно теряют около 3 млн долларов.

Еще в 2010 году многие ботнеты можно было низвергнуть простым sinkholing (подменой) C&C-сервера, положив конец вредоносной активности. Это отчасти объясняет тот факт, что современные ботоводы предпочитают строить р2р-сети. Распределенная архитектура позволяет операторам ZeroAccess осуществлять управление бот-сетью с участием десятков тысяч разнесенных в пространстве зараженных машин. При этом зловред ежесекундно обновляет списки пиров, вдобавок для обмена списками разные версии используют разные протоколы, что сильно затрудняет захват контроля в такой сети.

В операции против ZeroAccess помимо Microsoft приняли участие работающий под эгидой Европола Европейский центр по борьбе с киберпреступностью (European Cybercrime Centre, EC3), ФБР и американская компания A10 Networks, специалист по защите и оптимизации веб-приложений. Microsoft подала гражданский иск против ботоводов и через суд получила разрешение на блокировку входящего и исходящего трафика, которым местные зараженные ПК обменивались с 18 установленными в ходе расследования IP-адресами. Суд также удовлетворил ходатайство о захвате 49 доменов, ассоциированных с ZeroAccess.

«Слаженные действия наших партнеров помогли расстроить боевые порядки ZeroAccess, — комментирует Дэвид Финн (David Finn), исполнительный директор и помощник главного юрисконсульта отдела Microsoft по расследованию цифровых преступлений (Digital Crimes Unit, DCU). — Благодаря их усилиям компьютеры жертв перестанут участвовать в мошеннических схемах, а мы сможем идентифицировать машины, нуждающиеся в очистке от инфекции».

Европол со своей стороны позаботился о блокировке 18 IP-адресов, с которыми связывались американские боты. В Германии, Латвии, Люксембурге, Швейцарии и Голландии были проведены обыски и захвачены серверы, ассоциированные с этими адресами.

«Данная операция является важным шагом к согласованию действий, инициируемых частным сектором, которые в то же время позволяют европейским правоохранительным органам идентифицировать и преследовать криминальные организации, стоящие за этими опасными ботнетами и использующие вредоносное ПО для получения незаконных доходов», — заявил Трулс Уртинг (Troels Oerting), глава Европейского центра по борьбе с киберпреступностью (ЕС3).

Microsoft и ее партнеры отметили, что не ставили перед собой цели навсегда покончить с ZeroAccess. Тем не менее они надеются, что принятые ими правовые и технические меры помогут значительно дестабилизировать работу ботнета, пресечь вредоносную активность зараженных машин и, возможно, вынудить ботоводов заниматься восстановительными работами.

«Сообществу хакеров пора понять, насколько сильны партнерские союзы между государством и частным сектором, и нынешняя акция против ботнета ZeroAccess тому наглядный пример, — заключил Ричард Мак-Фили (Richard McFeely), исполнительный помощник директора ФБР. — Она продемонстрировала нашу решимость расширять сотрудничество с компаниями, такими как Microsoft, и с нашими зарубежными партнерами, в данном случае с Европолом, в целях пресечения вредоносной активности и привлечения к ответственности киберпреступников, эксплуатирующих компьютерные ресурсы граждан и бизнес-структур».

Категории: Главное, Кибероборона