ФБР накрыла крупнейшую ботсеть при помощи Trend Micro

8 ноября ФБР и полиция Эстонии при участии компании Trend Micro ликвидировали одну из самых «долгоиграющих» бот-сетей, состоящую из 4 миллионов зараженных компьютеров.

В ходе операции, получившей кодовое название Ghost Click («Призрачный Клик»), была приостановлена работа двух центров обработки данных в Нью-Йорке и Чикаго и отключена от сети Интернет инфраструктура управления (C&C), состоящая из более чем 100 серверов. Одновременно с этим полиция Эстонии арестовала несколько подозреваемых в городе Тарту (Эстония).

Ботнет состоял из зараженных компьютеров, DNS параметры которых были изменены для преобразования имен в чужие IP-адреса. Серверы DNS разрешают удобочитаемые доменные имена в IP-адреса, которые назначаются серверам в сети Интернет. Большинство пользователей Интернета автоматически используют DNS серверы своих поставщиков интернет услуг.

Троянские программы, изменяющие DNS, модифицируют параметры компьютера для использования чужих серверов DNS. Эти DNS-серверы настроены злоумышленниками и преобразуют определенные домены во вредоносные IP-адреса. В результате жертвы, сами не подозревая о том, перенаправляются на потенциально опасные веб-сайты.

Это позволяет преступникам заменять интернет-объявления, загружаемые жертвами, захватывать результаты поиска и внедрять вредоносное ПО.

Trend Micro еще с 2006 года разрабатывала тех, кто был связан с ботнетом DNS Changer.

Преступной группой, которая контролировала всю цепочку – от заражения троянами до монетизации инфицированных ботов – была эстонская компания Rove Digital. Rove Digital – это материнская компания для многих других, таких как Esthost, Estdomains, Cernel, UkrTelegroup и менее известных фиктивных организаций.

Rove Digital на первый взгляд была вполне порядочной ИТ-компанией. Но видимость была обманчива. На самом же деле офис в Тарту осуществлял управление миллионами взломанных узлов по всему миру и ежегодно получал незаконным путем огромную прибыль.

Компания Esthost, реселлер услуг веб-хостинга, мелькнула в новостях осенью 2008 года, и ушла в оффлайн в то же самое время, когда был отключен интернет-провайдер Atrivo в Сан-Франциско, услугами которого она пользовалась. Примерно тогда же компания Estdomains, занимавшаяся регистрацией доменов, была лишена аккредитации от ICANN, поскольку ее владелец Владимир Цацин был признан судом виновным в мошенничестве с кредитными картами на своей родине, в Эстонии.

Эти действия стали результатом общественного давления, связанного с подозрениями в том, что компания Esthost обслуживает киберпреступников. Компания Rove Digital была вынуждена прекратить предоставление хостинговых услуг, предлагаемых компанией Esthost, но продолжила осуществлять свою преступную деятельность. Rove Digital расширила командную инфраструктуру по всему миру и переместила большую часть серверов, ранее размещавшихся в Atrivo, в центр обработки данных Pilosoft в Нью-Йорке, где к тому моменту уже работало несколько серверов.

О том, что услугами компании Esthost пользовались злоумышленники, было известно в 2008 году. Однако широкая общественность не знала, что компании Esthost и Rove Digital активно участвовали в совершении киберпреступлений.

Trend Micro удалось обнаружить, что Rove Digital не только размещала троянские программы, но и контролировала серверы C&C и серверы rogue DNS, а также инфраструктуру, с помощью которой осуществлялась монетизация мошеннических «кликов», производимых ботнетом DNS Changer. Помимо программ DNS Changer компании Esthost и Rove Digital распространяли программы FAKEAV, имитирующие работу антивирусного ПО, и программы для обращения к интернет-ресурсам Trojan-Clicker, а также участвовали в продаже сомнительных лекарственных препаратов и других преступлениях.

Доказательства, собранные за последние несколько лет, не оставляют никаких сомнений в том, что компании Esthost и Rove Digital принимали непосредственное участие в киберпреступлениях и мошеннической деятельности.

-->