Специалисты антивирусной компании Symantec, проводившие собственные наблюдения за результатами мер, предпринятых против третьего по объему трафика ботнета мира Grum, подтвердили: бот-сеть более не подает признаков жизни. Об этом сообщает агентство ИТАР-ТАСС.
Grum был отключен от Сети 19 июля совместными усилиями специалистов калифорнийской компании FireEye, занимающейся разработкой продуктов для информационной безопасности, российской Группы по реагированию на инциденты информбезопасности CERT-GIB и британской организацией SpamHaus.
На пике активности через Grum, в котором, по разным данным, находилось от 100 до 300 тысяч зараженных компьютеров, рассылалось около 18 миллиардов мусорных сообщений в день, что примерно соответствовало 18% от мирового объема спама. Именно на такую величину, по данным компании, он сократился после того, как специалистам FireEye удалось отключить серверы управления бот-сетью, расположенные в Нидерландах и Панаме.
Ботнетом, напомним, называют сеть, состоящую из хостов с запущенными на них "ботами" (сокращение от слова "робот") - автономным программным обеспечением. Чаще всего бот в составе бот-сети является программой, скрытно устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов зараженного компьютера. Ботнеты используются для разного рода нелегальной или нежелательной деятельности: рассылки спама, перебора паролей на удаленной системе, атак на отказ в обслуживании (DDoS) и т.п. Атаки ботнетов способны вывести из строя не только крупные интернет-ресурсы, но и целые сегменты Сети.
Существовали, однако, опасения, что говорить о прекращении деятельности ботнета преждевременно, поскольку организаторы не установлены и находятся на свободе.
На протяжении некоторого времени владельцы разгромленного ботнета не оставляли попыток восстановить контроль над зараженными компьютерами.
Киберпреступники создали семь новых центров управления и контроля в России и на Украине. Эксперты из FireEye предположили, что хакеры заплатили украинскому провайдеру SteepHost, чтобы получить доступ к одному из сегментов своей сети, так как боты Grum не способны перейти на новый командный сервер после того, как старый вышел из строя.
На этом этапе, по обращению специалистов FireEye, к операции подключились сотрудники CERT-GIB - российской группы по реагированию на инциденты информационной безопасности, созданной компанией Group-IB. Усилиями российских специалистов удалось закрыть украинские серверы.
По данным экспертов из CERT-GIB, отключение серверов, используемых для управления бот-сетью, - нетривиальная задача. Злоумышленники арендуют готовые подсети и регистрируют их на подставные компании. Обращаться в такие организации бесполезно, так как они игнорируют все запросы.
Кроме того, не всегда удается оперативно установить, что компания является подставной. Поэтому приходится действовать альтернативными путями и обращаться к вышестоящим провайдерам для отключения подсетей, что, конечно, занимает определенное время.