Прошло менее недели с тех пор, как Microsoft захватила около двух дюжин доменов небольшого хостинг-провайдера в рамках противодействия вредоносной операции. Теперь все домены вернулись под управление провайдера No-IP.

Когда Microsoft анонсировала 30 июня атаку на злоумышленников, представители компании сообщили, что Microsoft получила от невадского судьи судебный приказ о временном запрещении, позволивший им захватить более 23 доменов, которыми владела компания Vitalwerks, известная по сайтам No-IP.com и No-IP.org. Хостинг-провайдер также владеет бесплатным сервисом динамического DNS, который Microsoft объявила неправомерно используемым (вместе с услугами хостинга) киберпреступниками, замешанными в деятельности зловредов семейств Bladabindi и Jenxus.

Представители Vitalwerks отрицают, что компания сознательно позволила злоумышленникам использовать инфраструктуру и сервисы, и сообщают, что Microsoft даже не связалась с компанией перед захватом доменов. Они также сообщили, что захват доменов затронул многих других клиентов компании, и пару дней спустя Microsoft признала, что к этой проблеме привела «техническая ошибка», которая была исправлена. Но по состоянию на конец прошлой недели, как сообщили представители Vitalwerks, их клиенты все еще были отключены.

Но на данный момент все захваченные домены возвращены под управление Vitalwerks, это важная подвижка.

«Мы хотим оповестить вас и объявить о том, что все 23 домена, захваченные Microsoft 30 июня, сейчас вернулись под наше управление. Пожалуйста, учитывайте, что полное обновление DNS может занимать до 24 часов, но все должно полностью заработать на следующий день. Один из доменов, noip.me, возвращался в онлайн несколько дольше, но и он будет полностью восстановлен в течение следующего дня», — указала компания в своем сообщении.

Microsoft в последние годы проводит операции такого рода, часто концентрируясь на ботнетах и крупномасштабных вредоносных операциях, и одним из их компонентов является арест различных доменов, служащих для управления и контроля либо для заражений. Эта тактика противодействия на протяжении долгого времени используется сообществом информационной безопасности, но Microsoft посредством своего подразделения противодействия цифровым преступлениям сделала ее повседневным инструментом. Последняя операция тем не менее вызвала удивление у исследователей-безопасников, некоторые из которых задавали вопросы о том, почему Microsoft разрешается захватывать собственность других компаний.

«Захват доменов — обычная стратегия, которая тем не менее выходит из-под контроля. Массовое использование метода sinkhole долгое время вызывало противоречивую дискуссию, но случаи, когда корпорации вроде Microsoft захватывают то, что принадлежит другим компаниям, не укладываются в головах у многих из нашего сообщества», — сказал Клаудио Гуарнери, независимый исследователь-безопасник, участвовавший во многих противоботнетных проектах.

Представители Microsoft сообщили, что они все еще работают вместе с Vitalwerks над идентификацией конкретных вредоносных поддоменов.

«Мы удовлетворены прогрессом, достигнутым в дискуссии с No-IP. Они вернули себе контроль над доменами, а мы исследуем вредоносные поддомены, чтобы определить, кто оказался жертвой зловредов», — написал в сообщении Дэвид Финн, исполнительный директор и помощник главного юриста из подразделения противодействия цифровым преступлениям Microsoft.

Категории: Хакеры