марта
30

«Лаборатория Касперского» сообщила о ликвидации ботнета Hlux, известного также как Kelihos.

По сообщению «Лаборатории», в результате операции, в которой принимали участие компании Crowd Strike, Honeynet и Dell SecureWorks, была обезврежена ботсеть размером 109 тыс. компьютеров.

Ликвидированная на нынешней неделе бот-сеть - это уже вторая инкарнация ботнета Hlux, возникшая после того, как «Лаборатория Касперского» совместно с Microsoft уничтожила в октябре 2011 г. . первую.

Hlux/Kelihos - один из интереснейших ботнетов современности. Его первая версия при жизни привлекала к себе внимание своей исключительной эффективностью: при размерах ботсети около 40 тыс. зараженных ПК, Hlux рассылал до 4 млрд спам-писем в день, что сравнимо с производительностью крупного ботнета Rustock.

При стоимости рассылки 1 млн спамерских писем от $250 до $500, выручка владельцев Kelihos теоретически могла достигать $2 млн в день, однако размер вновь уничтоженной второй версии ботнета оказался почти втрое больше, чем у ее предшественника.

Однако в начале 2012 г. Kelihos вызвал вторую волну интереса, когда Microsoft в своем официальном блоге объявила о поданном ею иске в суд Восточного округа американского штата Вирджиния против предполагаемых создателей и операторов ботнета.

В их числе оказался Андрей Сабельников, сотрудник питерского разработчика банковского ПО Teknavo, ранее работавший в нескольких компаниях, занимающихся информационной безопасностью.

Сабельников, находившийся в тот момент в США, спешно вернулся в Россию и в своем блоге отверг обвинение в причастности к работе Kelihos и к рассылке спама. В процессе написания этого материала связаться с Сабельниковым не удалось.


Ботнет Kelihos, известный также как Hlux, рассылал до 4 млрд спам-писем в день

Вероника Пюккенен, представитель компании Teknavo, где Сабельников работал с декабря 2011 г., сообщила CNews, что к нынешнему времени он покинул компанию «по взаимной инициативе».

Можно отметить, что сама «Лаборатория Касперского», занимавшаяся технической стороной выявления и ликвидации ботнета Hlux/Kelihos, не заявляла о причастности Сабельникова к его созданию и оперативному управлению. В разговоре о его причастности к ботнету Hlux представители антивирусной компании заявили CNews, что узнали о ней из публикаций в СМИ.

В то же время иностранные техноблоггеры, интересующиеся тематикой информационной безопасности предполагают, что за ботнетом Kelihos стоит другой человек.

Так, Брайан Кребс (Brian Krebs), автор блога Krebs On Security, с уверенностью называет хозяином Hlux/Kelihos модератора форума Spamdot.biz, известного под ником Peter Severa. По данным ресурса Spamhaus, под этим ником скрывается петербуржец Петр Левашов. В то же время, замечает Кребс, часть платы за услуги Severa выводил на счет WebMoney, зарегистрированный на москвича Виктора Сергеевича Ивашова, которому на момент создания аккаунта в 2001 г. было 26 лет.

Рассказывая о возрожденной и повторно уничтоженной версии Hlux/Kelihos, главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев отмечает, что, если старая версия ботнета «общалась» с управляющими серверами, расположенными в зоне Кокосовых островов cz.cc, то второй ботнет начал использовать домены в общеевропейской зоне .eu, которая теперь стала рассадником подозрительных сайтов.

Миграция «подозрительных сайтов» в .eu началась, когда усилиями Microsoft была закрыта «хакерская» cz.cc. По мнению Гостева, миграция бот-серверов в .eu обусловлена тем, что «лишить домен делегирования домена в зоне .eu все же сложнее, чем в других популярных зонах, например, в .com».

Говоря о технологической стороне возрожденного ботнета, эксперт отмечает серьезные проблемы в его архитектуре: «Разработчики ботнета наступили на те же грабли что и в первый раз. Похоже на то, что они не в состоянии качественно переписать исходный код, а просто внесли косметические изменения в первую версию Hlux».

safe.cnews.ru

Комментирование закрыто.




При наполнении сайта использована информация из открытых источников. Владелец сайта не несет ответственности за недостоверную и заведомо ложную информацию размещенную на страницах сайта. При использовании информации опубликованной на нашем сайте, ссылка на нас обязательна.