Больше половины ZeuS-ботов потеряли "головы"

Швейцарский эксперт по безопасности Роман Хюссе (Roman Hüsse), наблюдающий за активностью ZeuS-ботнетов при помощи системы слежения ZeuS Tracker, отмечает резкое уменьшение количества контролирующих центров этих сетей. Этот феномен Хюссе связывает с отключением провайдера Troyak-as.

9 марта количество активных контролирующих центров ZeuS-ботнетов упало с 249 до 181, а 11 числа их и вовсе осталось лишь 104. Соответственно снизилась и активность "обезглавленных" ботнетов.

Проанализировав "выпавшие" из учёта ботнеты, Хюссе пришёл к выводу, что все их контролирующие центры хостились у нескольких провайдеров, которые выходили в Сеть через автономную систему TROYAK-AS Starchenko Roman Fedorovich (AS50215). Эти провайдеры в терминологии ZeuS Tracker считались "пуленепробиваемыми", что на практике означает, что их нельзя убедить перекрыть кислород недобросовестным клиентам.

По состоянию на 9 марта Хюссе привёл список из шести низлежащих автономных сетей, три из которых, судя по IP-адресам, находятся в Молдове, две в России и ещё одна — на Украине. В каждой из них нашли свой приют от 5 до 18 контролирующих центров.

Как отмечалось выше, 11 марта признаки жизни перестали подавать более 140 ZeuS-ботнетов. По словам Хюссе, имевшего чат с журналистом Брайаном Кребсом (Brian Krebs), обычно одна ZeuS-сеть состоит из 20-50 тысяч ботов. Но даже если исходить из 10 тысяч, легко подсчитать, что речь идёт о полутора миллионах зараженных компьютеров, которые перестали получать команды от своих контролирующих центров.

За эти два дня Troyak успел объявиться в Сети, подключившись к новому провайдеру, снова выпасть и опять показаться на плаву. Доступ ему сейчас предоставляет не кто-нибудь, а ОАО "РТКомм.РУ", дочка "Ростелекома".

Несмотря на это, хостеры контролирующих центров ZeuS-ботнетов до сих пор в отключке. Хюсси считает, что пастухам пострадавших зомби-сетей уже не удастся восстановить контроль над ними. По его мнению, имея "пуленепробиваемых" провайдеров, они вряд ли задумывались над необходимостью держать резервные серверы.

С другой стороны, как считает независимый эксперт по кибербезопасности Данчо Данчев, радоваться особо нечему. Поднять новый ZeuS-ботнет в экономическом плане куда проще, чем восстановить контроль над старым, говорит Данчев, так что отключение провайдера не может нанести серьёзный удар по самой бизнес-модели преступников.

Имеется, впрочем, ещё один аспект. ZeuS-ботнеты обычно пополняются за счёт спам-рассылок с вредоносными ссылками. Однако, по данным Энди Фрида (Andy Fried) из компании Deteque, спам, имеющий отношение к ZeuS, неожиданно прекратился 27 февраля и до сих пор не возобновлялся. Причины этого пока неизвестны.

Напомним, что ZeuS — это хакерский инструментарий, который можно приобрести на чёрном рынке и, при наличии небольшой фантазии, развернуть с его помощью собственную зомби-сеть. Трояны ZeuS специализируются на краже логинов и паролей, при этом преступников обычно интересуют пароли к системам онлайн-банкинга. Знающим английский рекомендуется изучить PDF-отчёт по ZeuS, подготовленный недавно компанией Trend Micro.