Как уже не раз бывало, очередная атака Microsoft на инфраструктуру зловредов вызвала большой отклик в сообществе исследователей, активистов и других заинтересованных сторон, но мнения при этом разошлись. В рамках операции, о которой стало известно в последний день июня, компания не только нанесла удар по C&C нескольких вредоносных семейств, но также подала иск против Vitalwerks Internet Solutions, хостинг-провайдера и оператора DDNS-сервисов No-IP.com и No-IP.org. Эти меры вновь посеяли сомнения в правильности тактики Microsoft и вызвали жаркие дискуссии в ИБ-кругах.

Одним из основных методов, используемых Microsoft в подобных операциях, является официальная подача ходатайства о временном запрете деятельности ответчика. Соответствующий судебный приказ дает юридические основания для захвата используемых злоумышленниками доменов, осуществления подмены (sinkhole) и перенаправления трафика на подставные веб-серверы. Sinkholing — это проверенный временем и вполне правомерный способ дестабилизации ботнетов и других предприятий, основанных на использовании вредоносного ПО. При этом перенаправление трафика на узлы, контролируемые исследователями или правоохранительными органами, нередко осуществляется при участии хостинг-провайдера, в сетях которого обосновались операторы зловредов. Попытка нейтрализации инфраструктуры, используемой вредоносными семействами Bladabindi и Jenxcus, предоставила интересную возможность сравнить отношение вовлеченных сторон к этому событию.

«Мы решили призвать к ответу No-IP как владельца инфраструктуры, часто используемой киберкриминалом для заражения безвинных жертв зловредами семейств Bladabindi (NJrat) и Jenxcus (NJw0rm), — заявил Ричард Боскович (Richard Boscovich), заместитель главного юрисконсульта отдела Microsoft по борьбе с киберпреступлениями (Digital Crimes Unit, DCU). — Ранее в наше поле зрения  попадали в основном ботнеты восточноевропейского происхождения, однако на сей раз авторами, владельцами и дистрибьюторами вредоносного ПО являются уроженцы Алжира и Кувейта».

«Динамический сервис доменных имен (DNS) представляет собой, по сути, систему автоматического обновления записей в адресной книге Интернета и является его жизненно важной частью, — поясняет Боскович. — Тем не менее в отсутствие адекватного контроля бесплатная DDNS-служба, каковой является No-IP, рискует попасть в топ-список доменов с большим количеством злоупотреблений. Из 10 глобальных операций по подрыву деятельности зловредов, в которых мы приняли участие, данная акция может оказаться самой масштабной из-за больших размеров парка, требующего очистки. Проведенное нами исследование показало, что в настоящее время домены No-IP используют 245 разновидностей вредоносных программ, среди которых преобладают Bladabindi и Jenxcus. Оба этих семейства, обращаясь к DDNS, в 93% случаев запрашивают домены No-IP. За последние 12 месяцев Microsoft зафиксировала свыше 7,4 млн заражений Bladabindi и Jenxcus, и это без учета детектов сторонних антивирусов. Несмотря на многочисленные сигналы от ИБ-экспертов, No-IP так и не приняла адекватные меры, чтобы предотвратить или ограничить злоупотребления и взять ситуацию под контроль».

О популярности No-IP у киберкриминала свидетельствуют и исследования «Лаборатории Касперского», которые не только подтверждают связь ресурсов No-IP с C&C Bladabindi и Jenxcus, но также показывают, что блокировка соответствующих доменов нарушила многие другие APT-операции, использующие эту DDNS. «Судя по нашей статистике, отключение так или иначе повлияло на деятельность по крайней мере 25% APT-групп, которые мы отслеживаем, — пишет в блоге компании Костин Райю (Costin Raiu), глава отдела по глобальным исследованиям и анализу. — Некоторые из этих хостов ранее использовались в крупных и сложных операциях по кибершпионажу; теперь они все ведут на адрес 204.95.99.59 — по всей видимости, это адрес sinkhole-сервера, установленного Microsoft».

Тем не менее тактика sinkholing иногда дает побочные эффекты, неприятные для хостинг-провайдеров, и некоторые из них выражают недовольство, когда сторонняя компания подобным образом нарушает их работу. Единого мнения на этот счет нет даже в среде ИБ-специалистов. Некоторые из них опасаются возможного злоупотребления властью и негативных последствий для добропорядочных пользователей.

«Захват доменов — это широко распространенная практика, которая, к сожалению, начинает выходить из-под контроля, — отмечает известный знаток бот-сетей Клаудио Гуарньери (Claudio Guarnieri). — Подмена доменов в полевых условиях давно вызывает разногласия в оценках, и каждый раз, когда корпорация вроде Microsoft захватывает собственность других легитимных компаний, многие участники ИБ-комьюнити только руками разводят».

Представители No-IP в свою очередь решительно отрицают причастность компании к криминальным операциям. Более того, по их словам, No-IP уже доводилось работать в тандеме с Microsoft, но на этот раз сервис-провайдера даже не предупредили о предстоящей акции. «Мы много раз работали с другими компаниями на упреждение нежелательных событий, и эти случаи всегда предварял отчет о подозрительной активности, — говорится в официальном заявлении No-IP от 30 июня. — К сожалению, Microsoft даже не попыталась связаться с нами или озвучить просьбу о блокировке каких-либо поддоменов, хотя у нас есть открытый канал для общения с ее должностными лицами».

«Мы сегодня сами обратились к Microsoft за разъяснениями, — продолжает No-IP. — Они утверждают, что хотели лишь отфильтровать уличенные во вредоносной активности хосты в каждом захваченном домене, не нарушая сервис для «чистых» имен. Однако этого не происходит. По всей видимости, инфраструктура Microsoft не способна обрабатывать миллиарды запросов, исходящих от наших клиентов. Ее попытка очистить ресурсы, ассоциированные с горсткой зловредов, повлекла отказы в обслуживании, от которых страдают миллионы безвинных пользователей».

Microsoft со своей стороны объяснила столь обширную деградацию в DNS-обслуживании «технической ошибкой», которую поспешила исправить.

Категории: Вредоносные программы, Главное