Microsoft и ФБР предприняли попытку обезоружить сотни ботнетов, созданных на основе SaaS-версии ZeuS, известной как Citadel. По словам экспертов, это «самая агрессивная» из семи операций против бот-сетей, проведенных ими в рамках комплексного проекта MARS (Microsoft Active Response for Security).

Citadel появился как теневой open-source проект около полутора лет назад и с тех пор успел заразить свыше 5 млн. компьютеров, прописанных в 90 странах. Финансовый ущерб, нанесенный этим банкером, оценивается в 500 млн. долларов. В минувшем году авторы проекта изъяли Citadel из свободной продажи на черном рынке, надеясь уберечь свое детище от повышенного внимания правоохранительных органов и снизить расходы на техподдержку.

Под прицел Microsoft попали свыше 1,46 тыс. ботнетов, ассоциированных с деятельностью Citadel. Расследование, получившее в MS кодовое наименование «операция b54», продолжалось около года. Удовлетворив ходатайство компании, окружной суд Северной Каролины санкционировал захват и подмену командных серверов (sinkholing), размещенных злоумышленниками в двух американских датацентрах. Помимо MS, в подготовке материалов в обоснование гражданского иска принимали участие специалист по защите от фишинга Agari, производитель контроллеров доставки приложений A10 Networks, поставщик DNS- и DHCP-продуктов Nominum, а также – впервые – представители финансовой сферы: информационный центр FS-ISAC, ассоциация электронных платежей NACHA, ассоциация американских банкиров АВА.

Завершающая стадия «операции b54» пришлась на конец мая. «Учитывая численность и сложность Citadel, нельзя ожидать, что данная акция полностью истребит все ботнеты, созданные на его основе, – отметил в блоге Ричард Боскович (Richard Boscovich), помощник главного юрисконсульта отдела Microsoft по борьбе с киберпреступлениями (DCU). – Однако мы надеемся, что она поможет существенно сократить боевые порядки Citadel, а также повысить для киберкриминала риски и расходы, связанные с деятельностью этого троянца».

Большую помощь в сборе свидетельств против ботоводов Citadel оказала калифорнийская компания Agari. Полгода исследователи анализировали поддельные сообщения, написанные от имени ведущих банков с целью распространения инфекции. «Наша система позволяет изолировать вредоносные сообщения и направлять соответствующие отчеты блюстителям правопорядка, клиентам, коллегам, чтобы те могли отыскать плохих парней, – поясняет исполнительный директор Agari Патрик Петерсон (Patrick Peterson). – В данном случае, работая вместе с нашими партнерами – ФБР, Microsoft, FS-ISAC, – мы смогли вычленить сообщения, связанные непосредственно с деятельностью Citadel».

Microsoft уже несколько лет последовательно борется с кибепреступностью, и одним из главных участников этой миссии является DCU. Спецгруппа, укомплектованная инженерно-техническим персоналом, специалистами по безопасности и юристами, одержала несколько побед над ботнетами, в том числе над Kelihos, ZeuS, Waledac и Rustock. В беседе с корреспондентом Threatpost Деннисом Фишером руководитель security-направления DCU Ти Джей Кампана (T.J. Campana) подчеркнул, что его группа стремится проводить операции по ботнетам как можно более прозрачно. «Мы не разбойники с большой дороги. Мы подготавливаем кипы правовых документов. Мы ищем судью, который бы удостоверил справедливость наших находок», – так описывает Кампана деятельность DCU.

Чтобы ускорить очистку зараженных компьютеров, данные с захваченных серверов будут переданы заинтересованным интернет-провайдерам и CERT. Эту информацию Microsoft также выложит на новом облачном сервисе, недавно открытом в рамках C-TIP (Cyber Threat Intelligence Program) – программы быстрого оповещения об интернет-угрозах. ФБР тоже участвует в этом процессе, распространяя новые данные среди своих зарубежных коллег.

Недовольны одни лишь security-эксперты: Microsoft не предупредила их о готовящейся акции и дезактивировала их ловушки. Швейцарский проект Abuse.ch, например, потерял свыше 300 sinkhole-доменов. По оценке активистов, около четверти из 4 тыс. доменов, ныне надежно привязанных к подставному серверу MS, были изначально созданы для исследовательских целей.

Категории: Главное