+7 (495) 980-67-76

Специалисты FireEye уничтожили крупный спамерский ботнет

19 августа 2012

Компания FireEye сообщаяет о ликвидации ботнета Grum, который в FireEye назвали третьим по размеру мировым поставщиком спама. Grum старый ботнет и ранние версии его командных серверов так или иначе проявляли себя ещё в 2008 году. К моменту своей ликвидации он генерировал порядка 18 миллиардов спам-сообщений ежедневно (или около 17 процентов от мирового объёма спама).

Ботнет в основном контролировался тремя командными серверами, расположенными в Голландии, Панаме и России. Сначала 16.06.2012 был нейтрализован голландский сервер. Затем наступила очередь сервера в Панаме. С ним тоже особых проблем не было. Проблемы начались сразу после этого: операторы ботнета оперативно подняли два контрольных сервера на территории Украины.

«Украина давно считается безопасной гаванью для владельцев ботнетов, закрыть там какие-либо сервера всегда было непростой задачей», — пишет сотрудник FireEye Атив Муштак.

Тем не менее FireEye удалось заручиться поддержкой участников таких проектов, как Spamhaus и российская CERT-GIB. Те быстро передали информацию компетентным сотрудникам на Украине и в России.

Украинские серверы были нейтрализованы гораздо быстрее, чем можно было ожидать.
Последний контрольный сервер закрыть удалось не сразу. «Основной сервер, расположенный в России, его провайдер GAZINVESTPROEKT LTD. закрывать отказался. В результате нужный IP-адрес в конечном счёте заблокировал провайдер, предоставлявший услуги ГазИнвестПроекту», — пишет Муштак.

Провайдер с таким названием обнаружился во Пскове. Поток спама, исходящего от ботнета Grum, немедленно снизился, и есть надежда, что скоро он иссякнет полностью.

Последние два года были ознаменованы крупномасштабными операциями против крупнейших ботнетов: ликвидированы Rustock (при непосредственном участии FireEye и Microsoft), Zeus и Kelihos (техническую и юридическую атаку возглавила Microsoft). Российская компания «Доктор Веб» нейтрализовала весной этого года крупный ботнет, сформированный файловым вирусом Win32.Rmnet.12, насчитывавший около полутора миллиона заражённых машин.

По материалам: Сomputerra.ru

337
#ИБ
Подписаться на новости

Мы собираем пользовательские данные для улучшения работы сайта. Используя сайт, вы подтверждаете согласие на их обработку. Нажмите здесь, чтобы узнать больше.

;