USD 64.49 ЕВРО 71.84

Symantec освобождает часть крупного p2p-ботнета ZeroAccess

Аналитика

Исследователи вывели 500 000 зараженных компьютеров из-под контроля операторов ботнета ZeroAccess

ботнетКиберпреступники, стоящие за ZeroAccess, одним из крупнейших ботнетов в истории, потеряли доступ к более чем четверти зараженных машин в результате операции,  осуществлённой экспертами по безопасности из Symantec.

Мы уже сообщали ранее о сделанных Symantec выводах о структуре и назначении ботнет ZeroAccess. По этим данным, этот ботнет состоит из более чем 1,9 миллиона зараженных компьютеров и используется, в основном, для выполнения  накрутки кликов в рекламных сетях и Bitcoin-майнинга  в целях получения доходов, оценивающихся в десятки миллионов долларов в год.

ZeroAccess имеет одноранговую (peer-to-peer) архитектуру, где каждый заражённый компьютер может передавать файлы, инструкции и информацию на другие такие же компьютеры в ботнете. Этот механизм используется его операторами для командования и управления (C&C), что делает ZeroAccess более устойчивой к попыткам демонтажа, чем бот-сети, которые зависят от выделенных серверов C&C.

Ранее в этом году исследователи в области безопасности из Symantec нашли практический способ освобождения ботов ZeroAccess от ботмастера за счет использования известной уязвимости в механизме peer-to-peer.

Тем не менее, в июне создатели ботнета начали распространение новой версии вредоносной программы, содержащей изменения для исправления обнаруженной Symantec уязвимости. В Symantec приняли решение запустить операцию синкхолинга (sinkholing – техника,  позволяющая перенаправлять идентификацию вредоносного C&C сервера на свой сервер) в середине июля. Операция включала в себя захват ботов и вывод их из-под контроля владельцев ботнета.

 «Эта операция быстро привела  к отсоединению более полумиллиона ботов и создала серьезную брешь в количестве ботов, контролируемых ботмастером», – заявили исследователи из Symantec в своем блоге в понедельник.

Захваченные боты не были обновлены, и всё еще уязвимы, но они были изолированы до состояния, в котором они общаются только с сервером, управляемым Symantec, сказал Викрам Тхакур, ведущий менеджер реагирования на угрозы безопасности в Symantec. «Мы считаем, что для ботмастеров не существует способа восстановить контроль над этими ботами».

Операция синкхолинга заняла всего несколько дней, но Symantec с тех пор работала, чтобы убедиться, что ситуация стабильна и делилась данными с интернет-провайдерами и компьютерной группой реагирования на чрезвычайные ситуации (CERT), чтобы они могли начать процесс выявления и очистки зараженных компьютеров.

«Мы хотели убедиться, что основа для восстановления была твердой, прежде чем мы объявим об этом общественности», – сказал Тхакур.

Провайдерам были предоставлены сигнатуры трафика, по которым можно определить ботов ZeroAccess в своих сетях, поэтому они могут принять меры даже против ботов, которые не были подвергнуты синкхолингу, как утверждает Тхакур.

Эксперты Symantec провели испытания в лаборатории, чтобы оценить стоимость затрат энергии ботнета для жертвы и сколько денег он генерирует для владельцев.
Компания оценила, что процесс биткойн-майнинга, который использует вычислительные мощности для генерации Bitcoin (тип виртуальной валюты), будет потреблять дополнительно 1,82 кВтч в день для каждого зараженного компьютера, если компьютер будет постоянно включён.

«Но если умножить эту цифру на 1,9 млн. для всего ботнета, мы получаем использование энергии в 3458000 кВтч (3458 МВтч), а этого достаточно, чтобы обеспечить энергией 111000 домов каждый день», – сообщают исследователи из Symantec. «Это количество энергии значительно большее чем выдаёт крупнейшая электростанция в Мосс Лэндинг, Калифорния, которая может производить 2484 Мвт, а  соответствующий счёт за электроэнергию составит $560887 в день».

Предполагая, что все компьютеры в бот-сети были бы похожи на те, которые использовались для тестирования Symantec – не очень мощные и на процессорах старого поколения Pentium D, ботнет будет генерировать Bitcoin на сумму в $2165 в сутки. Эта сумма не оправдывает затрат на электроэнергию, но так как майнинг происходит за чужой счет, это очень привлекательное предложение для операторов ботнета, отмечают аналитики Symantec.
Мошенническое накручиванием числа кликов по ссылкам, включающее показ рекламных объявлений на зараженных компьютерах и имитирующее клики, якобы сделанные реальными пользователями, гораздо выгоднее.

Один бот генерирует примерно 1000 кликов каждый день, а когда это умножается на 1.9 млн, и даже если один клик стоит доли копейки, ботнет может генерировать десятки миллионов долларов в год,  говорят исследователи Symantec.

Ботнет ZeroAccess поддерживается и контролируется несколькими лицами, которые создали вредоносные программы и имеют доступ к исходному коду, сказал Тхакур. Они зарабатывают примерно  20-40% денег от накликивания рекламы с помощью ботнет, или даже чуть меньше.
Неплохие суммы денег используются различными игроками рынка онлайн-экосистем: рекламными сетями,  продавцами трафика, издателями и другими. «Такие заработки в настоящее время широко распространены в разных областях».