Как сообщает Softpedia, совместная операция ESET, CyS Centrum LLC и киберполиции Украины против ботнета-спамера Mumblehard завершилась успехом. В последний день февраля текущего года ИБ-экспертам удалось подменить C&C-сервер ботнета по методу sinkhole; с того момента ESET насчитала около 4 тыс. разбросанных по всему миру ботов, пытающихся соединиться со своим C&C.

По данным ESET, многотысячный ботнет Mumblehard был построен на серверах Linux и BSD и функционировал в Сети как минимум с 2009 года. Положенный в основу ботнета зловред состоит из двух компонентов: бэкдора для получения C&C-команд и демона для рассылки спама, использующего пиратскую версию DirectMailer производства Yellsoft.

Новейший анализ показал, что для заражения операторы Mumblehard использовали уже установленный PHP-шелл, то есть попросту покупали доступ к скомпрометированным серверам. Примечательно, что, стремясь сохранить свои боевые порядки, ботоводы применяли особый скрипт, позволявший им блюсти репутацию зараженных хостов: этот скрипт автоматически проверял наличные IP-адреса по черным спискам Spamhaus и, обнаружив совпадение, отсылал в НКО запрос на восстановление “доброго” имени. При этом CAPTCHA-защиту от автоматической подачи таких запросов злоумышленники обходили с помощью системы оптического распознавания изображений или использовали сторонний сервис.

Полтора года назад ESET удалось внедрить подставной C&C-сервер в ботнет и таким образом получить представление о масштабах этой спам-операции. За семь месяцев мониторинга исследователи насчитали около 8,9 тыс. уникальных IP, входящих в состав ботнета. Результаты исследования были оглашены в апреле прошлого года. Эта публикация заставила злоумышленников заняться модификацией вредоносного кода, но, увлекшись усовершенствованиями, они совершили роковую ошибку: сократили число C&C до одного, украинского.

Эта единственная точка отказа была быстро выявлена; ESET уведомила о своей находке власти Украины и с их помощью перехватила управление Mumblehard, уже изрядно поредевшим, но все еще сохранившим свое присутствие в 63 странах.

Данные, собранные посредством sinkholing, уже используются для очистки зараженных ресурсов. В процесс оповещения пострадавших активно включилась национальная CERT Германии (CERT-Bund); рекомендации по обнаружению и удалению инфекции, а также перечень полезных инструментов опубликованы на сайте ESET.

Категории: Вредоносные программы, Кибероборона, Спам