Компьютерная фирма Symantec провела удар по кибертеррористам на этой неделе, когда обезвредила одну из наибольших в мире сетей зараженных компьютеров. Около 500 тыс. взломанных компьютеров были удалены из общего числа в 1,9 млн. или ботсеть ZeroAccess, о которой компания сообщила в понедельник.
Эти так называемые «зомби» компьютеры использовались для рекламы и валютного мошенничества онлайн, а также для заражения других машин. Эти компьютеры были использованы для кликового мошенничества и добычи Bitcoin как способа генерации прибылей, оцениваемых в десятки миллионов долларов в год.
ZeroAccess – это печально известная ботсеть, использующая архитектуру пир-ту-пир, которая позволяет зараженному компьютеру передавать файлы, инструкции и информацию другим компьютерам. Этот механизм предлагает операторам командную и контрольную функциональность (C&C), что делает эту отдельную ботсеть более устойчивой к попыткам разрушения.
«ZeroAcces ботсеть – это одна из наибольших известных сетей на сегодняшний день, состоящая из почти 1,9 млн. компьютеров, как ее наблюдали Symantec в августе 2013 года», пишет компания в своем официальном блоге.
«Ключевая особенность ботнет ZeroAcces – это использования P2P командной и контрольной коммуникационной архитектуры, что дает ботнет высокую степень доступности и устойчивости. Так как не существует центрального сервера C&C, вы не можете просто отключить набор атакующих серверов, чтобы нейтрализовать ботнет».
«В момент заражения компьютера ZeroAccess, он в первую очередь становится доступным для большого количества пиров, чтобы обмениваться деталями про другие пиры в известной ему P2P сети», объясняется в сообщении блога. «Таким образом боты узнают про другие пиры и могут распространять инструкции и файлы через сеть быстро и эффективно».
«В ботнет существует постоянная связь между пирами. Каждый пир постоянно соединяется с другими пирами для обмена списками и проверяет обновленные файлы, что делает сеть крайне устойчивой к каким-либо попыткам удаления».
В то время как фирма открыла практический способ освобождения ботов ZeroAccess от владельцев в прошлом году, в июне, создатели зловредного ПО распространили новую версию, которая исправила ошибки.
После этого Symantec запустил операцию по сливу в июне. Операция включала возможность захвата ботов таким образом, чтобы хакеры не могли вновь получить над ними контроль. Эта операция, которая продлилась всего несколько дней, в привела к отключению более полумиллиона ботов, что по словам Symantec оставило большую дыру в количестве ботов под контролем их хозяев.
Сейчас Symantec работает над тем, чтобы стабилизировать слив и поделилась данными с интернет провайдерами, так, чтобы процесс определения и очистки зараженных компьютеров мог продолжаться.
Как указывалось, эта конкретная ботсеть была вовлечена в добычу Bitcoin, которая использует вычислительную мощность, чтобы генерировать виртуальную валюту Bitcoin. Добыча Bitcoin имеет потенциал по нивелированию ценности Bicoins. Все еще остаются опасения, что ботсеть может быть восстановлена и даже вырасти.
«Всякий раз, разрушается ботсеть, но люди, которые ее запустили не арестованы, и существует шанс, что они могут ее отстроить», сказала в интервью Винсент Ганна, исследователь из неприбыльного анти-спам проекта Spamhaus.
Ваше мнение