Разделы

Интернет Безопасность Госрегулирование Стратегия безопасности Пользователю

Знаменитому русскому ботнету приходит конец

В ночь с пятницы на субботу в Британии закрыто три управляющих сервера знаменитого вредоносного ботнета Koobface. По мнению аналитиков, его владельцами являются либо граждане России, либо «русскоязычные киберпреступники».
Поздно вечером в пятницу были остановлены управляющие серверы одного из интереснейших ботнетов современности — Koobface. Об этом сообщил PC World со слов ведущего сотрудника SecDev Group Нарта Вильнева (Nart Villeneuve). Вильнев полагает, что Koobface построен и управляется выходцами из России.

Эксперт сумел доказать принадлежность трех серверов, подключенных через английского провайдера Coreix, к Koobface. После того, как SecDev привлекла к расследованию английскую полицию, провайдер лишил серверы доступа к Сети. «Теперь они в оффлайне», — заявил в ночь с 12 на 13 ноября Нарт Вильнев.

Червь Koobface известен более двух лет. Он примечателен тем, что стал первым ботнетом, активно использующим для заражения компьютеров Facebook, и само его имя представляет собой анаграмму названия крупнейшей в мире социальной сети.

Для вовлечения пользовательских компьютеров во вредоносную сеть ботнет рассылает по контактам уже зараженных компьютеров предложение кликнуть на смешной видеоролик, для чего пользователю требуется обновить flash-плеер. После перехода по ссылке на компьютер жертвы устанавливается вредоносное Java-приложение. Помимо Facebook, Koobface распространяется через MySpace, Twitter и другие соцсети.

Другая интересная особенность Koobface — его работоспособность на компьютерах под управлением Mac OS X. Операционная система, разработанная Apple, считается чрезвычайно устойчивой к заражениям. О ее подверженности Koobface стало известно в 2010 г.


Koobface подстерегает доверчивых жителей соцсетей и просит их обновить флеш-плеер. Вместо плеера на их компьютер устанавливается троян

Заражая компьютеры своих жертв, Koobface перенаправляет пользователей на страницы с ложными антивирусами, требующими оплаты за лечение со счета в банке или по SMS. Как сообщает Нарт Вильнев, выручку хозяевам червя обеспечивали именно владельцы этих страниц.

От DevOps к TestOps: как ускорить процессы тестирования новых приложений и ПО
Интеграция

Один из центральных серверов, обезвреженных этой ночью, Mothership, использовался для отслеживания финансовых потоков группы владельцев Koobface. Собственно, предположение о принадлежности Koobface выходцам из России основано на том, что сервер ежедневно отправлял SMS на четыре российских мобильных номера — в них содержался краткий отчет о дневном движении средств на счетах. Нарт Вильнев утверждает, что как минимум один из владельцев этих номеров живет в Санкт-Петербурге.

В «Лаборатории Касперского» считают верной информацию, что за Koobface стоят русскозычные киберпреступники. «Русскоязычные, а не только русские», — подчеркнул главный антивирусный эксперт «Лаборатории» Александр Гостев.

Гостев затруднился оценить, о каком числе заражений компьютеров при помощи Koobface может идти речь: «Koobface существует уже несколько лет и в какие-то моменты распространяется более активно, а в какие-то менее. Из-за этого нельзя указать точное количество, это число постоянно меняется. Однако речь идет о миллионах заражений».

Основываясь на данных Mothership, исследователи ботнета говорят, что за сутки хозяевам Koobface удавалось как потерять $1,014 тыс. (15 января 2010 г.), так и заработать $19,9 тыс. (23 марта 2010 г.).

В целом Koobface был довольно прибыльным бизнесом. Будучи первым ботнетом, который начал работать с Facebook, за год между июнем 2009 г. и июнем 2010 г. он принес своим владельцам больше $2 млн.

С отключением английских серверов бизнес владельцев Koobface вряд ли прервется. Александр Гостев говорит, что, по его наблюдениям, количество управляющих центров этого ботнета исчисляется сотнями, и они довольно оперативно мигрируют. Однако, он рассчитывает на успех международной операции по закрытию Koobface и аресту его создателей: «История только начинается».

Владислав Мещеряков

Короткая ссылка