В Испании с инициативы американских властей арестован предполагаемый оператор ботнета Kelihos, способного ежегодно генерировать сотни миллионов спам-сообщений и в последнее время используемого для распространения вредоносного ПО — банковских троянцев, программ-вымогателей.

Житель Санкт-Петербурга Петр Левашов был задержан в выходные в Барселоне, где проводил отпуск с семьей. ФБР подозревает, что россиянин — не кто иной, как неуловимый спамер, известный в среде киберкриминала как Peter Severa. Последний лет десять занимается рассылкой спама с ботнетов, некогда был деловым партнером «короля спама» Алана Ральски и до сих пор числится в ведущей десятке злостных спамеров, список которых (ROKSO) исправно обновляют активисты Spamhaus.

В понедельник министерство юстиции США опубликовало заявление, подтвердив факт проведения трансграничной операции по пресечению спамерской деятельности с использованием мощностей Kelihos. «Способность таких ботнетов, как Kelihos, быстро мобилизоваться для массового причинения ущерба разными способами составляет большую опасную угрозу для всех американцев, ибо она нацелена на подрыв основ нашего общения, дружеских связей, благосостояния и повседневной жизни», — подчеркнул Кеннет Бланко (Kenneth A. Blanco), исполняющий обязанности помощника генерального прокурора США.

Для облегчения нейтрализации Kelihos правоохранительным органам США, принимающим участие в операции, был выдан ордер в соответствии с поправками к федеральному правилу 41 уголовного судопроизводства. «Ордер, полученный правительством, уполномочивает органы правопорядка перенаправить зараженные Kelihos компьютеры на подставной сервер и фиксировать IP-адреса этих компьютеров по мере их подключения к серверу, — сказано в заявлении министерства юстиции. — Это позволит правительству предоставить IP-адреса жертв Kelihos тем, кто может помочь в очистке от вредоносного ПО Kelihos, в том числе провайдерам интернет-услуг».

Полученные законным путем полномочия также позволяют блокировать команды, посылаемые ботоводом с целью восстановления контроля над зараженными машинами. Со слов минюста, блокировка доменов Kelihos началась в субботу, менее чем за сутки до ареста Левашова.

Ботнет Kelihos, он же Hlux, появился на интернет-арене в 2010 году и долгое время использовался для продвижения нелицензированных интернет-аптек, махинаций с безнадежными акциями по методу pump-and-dump («накачка-сброс») и реализации других мошеннических схем. С годами Kelihos также доказал свою эффективность как средство распространения финансовых зловредов и криптоблокеров.

За время своего существования Kelihos пережил несколько попыток ликвидации, в том числе демонстрацию подмены (sinkholing) тысяч ботов, которую вживую устроил Тиллман Вернер (Tillmann Werner) на конференции RSA в 2013 году. Вернер и Стефан Ортлоф (Stefan Ortloff) принимали участие в нейтрализации Kelihos в 2011 и 2012 годах, и в результате всех этих усилий к концу 2013 года ботнет сильно уменьшился в размерах. С тех пор он периодически напоминает о себе активизацией спам-рассылок, которые все чаще оказываются вредоносными.

Категории: Вредоносные программы, Главное, Кибероборона, Спам