Microsoft открыла новый фронт борьбы с операторами бот-сетей. При помощи американских судебных решений софтверный гигант пытается закрыть зарождающуюся бот-сеть Kelihos. Корпорация использует ту же технику, что ранее была отработана на закрытии бот-сетей Rustock и Waledac. Microsoft обратилась в суд с требованием к компании Verisign о закрытии 21 доменного имени, которое обслуживается координационными серверами Kelihos и куда стекаются данные бот-сети.
«Эти домены либо напрямую, либо через поддомены выступают как точки координации для командных и контрольных серверов бот-сети Kelihos», — говорит Ричард Боскович, юрист Microsoft, представляющий компанию в делах, связанных с киберпреступностью.
Согласно данным экспертов, на сегодня Kelihos представляет собой сравнительно небольшой ботнет — примерно 42-45 тысяч компьютеров, однако его масштабы быстро растут, а сама сеть уже сейчас рассылает примерно по 4 млрд спамовых сообщений в сутки. Kelihos специализируется на мошенническом, порнографическом и фармацевтическом спаме, а также на рассылке злонамеренного программного обеспечения. С точки зрения организации он напоминает Waledac, что наводит на мысль о единой группе операторов у двух сетей.
Боскович говорит, что за три минувших года, когда Microsoft активно боролась с бот-сетями и их владельцами, компания пришла к выводу о том, что задушить сеть значительно проще на начальном этапе ее функционирования. «Сейчас мы исходим из того, что как можно раньше нужно сделать как можно больше. Из опыта можно сказать, что начало борьбы с конкретным ботнетом очень важно», — говорит он.
Говоря о доменах, обслуживаемых в интересах бот-сети, Microsoft сообщает, что все они, кроме одного, зарегистрированы на Багамах. Оставшийся домен cz.cc зарегистрирован на некоего Доминика Пиатти, управляющего компанией Dotfree Group из Чехии. Боскович говорит, что первоначально именно Пиатти был назначен ответчиком по иску о Kelihos, хотя в корпорации почти полностью уверены, что некие Пиатти — это подставное лицо. Ранее эта персона уже фигурировала в историях с бот-сетями.
Решение по закрытию доменов было принято в США еще 23 сентября, но формально его можно оспорить в чешском суде, хотя до сих пор этого не было сделано.
Шон Салливан, технический консультант антивирусной компании F-Secure, уверен, что никакого противодействия со стороны «обвиняемого» не произойдет, так как его просто нет. Также он отметил, что многие из закрытых доменов — это бесплатно зарегистрированные домены в зоне .cc, найти операторов которых почти невозможно. «По доменам в зоне .cc уже накопился огромный поток жалоб», — говорит Роэль Шувенберг, антивирусный эксперт «Лаборатории Касперского».
Ранее из зоны .cc злоумышленники вели распространение троянского ПО Mac Defender, а также многочисленных эксплоитов. Google еще летом этого года приняла решение об исключении данной зоны из своего поискового индекса.
Источник: www.cybersecurity.ru
