Эксперты Symantec пробили в рядах ZeroAccess серьезную брешь, изолировав четверть участников крупнейшего р2р-ботнета по методу sinkholing (подмены участников сети). По оценкам компании, в минувшем августе в состав ZeroAccess-сети входило около 1,9 млн зараженных машин.

Подготовка к проведению разгромной акции началась еще весной. Изначально предполагалось, что в ней также примут участие правоохранительные органы, однако в конце июня ботоводы начали отгружать обновления, закрывающие уязвимость к sinkholing, и Symantec форсировала перехват.

Как показывает практика, р2р-ботнеты обладают повышенной жизнестойкостью, так как у них нет обособленных центров управления, которые можно было бы заблокировать поодиночке. К тому же в таких ботнетах обычно используются кастомизированные протоколы передачи данных и шифрование. Изучив внутренние механизмы и слабости своей мишени, эксперты начали загружать на ботнет новый список пиров с ложными записями и свежими временными метками. По оценкам Symantec, на захват каждого бота в среднем уходило около пяти минут. В итоге «захватчикам» удалось перенаправить или полностью изолировать 500+ тыс. активных участников ботнета.

В ходе операции также проводилось тестирование основного функционала ZeroAccess. Как известно, данный зловред преимущественно используется ботоводами для накрутки кликов в рамках PPC-программ (pay-per-click ― плата за каждый клик), а также для установки Bitcoin-майнеров. Испытуемые боты за час генерировали около 257 Мб трафика (6,1 Гб в сутки), производя при этом чуть больше 40 ложных кликов (порядка 1 тыс. в сутки). По оценке экспертов, при такой производительности годовые доходы ботоводов от участия в PPC-партнерках могут измеряться миллионами долларов.

Кража вычислительных мощностей для генерации биткойнов на ботнете ZeroAccess, согласно расчетам Symantec, может вылиться в лишние 3,5 млн киловатт-часов, которые будут оплачивать жертвы заражения. Такой расход возможен, если все боты будут дружно заниматься Bitcoin-майнингом 24 часа в сутки. По словам экспертов, столь узкий профиль ZeroAccess вряд ли будет рентабельным: несмотря на колоссальные энергозатраты, его деятельность будет приносить операторам немногим более 2 тыс. долларов в сутки.

К сожалению, для ботоводов частичная нейтрализация ботнета обычно лишь досадная помеха, какой бы ощутимой она ни была. Тем не менее эксперты надеются, что их удар окажется для ZeroAccess смертельным. «Нам известно, что блюстители правопорядка поставили это дело на контроль, ― заявил Викрам Такур (Vikram Thakur), руководитель группы реагирования Symantec на ИБ-инциденты. ― Поэтому есть надежда, что после такого удара ботоводы не оправятся».

Согласно данным Symantec, операторы ZeroAccess являются выходцами из Восточной Европы, возможно, россиянами или украинцами. 70–80% участников ботнета ― зараженные домашние ПК. Эксперты уже наладили контакт с зарубежными интернет-провайдерами и CERT, чтобы произвести очистку.

Категории: Другие темы