Ботнет ZeroAccess блокирован — но не побеждён

06.12.2013 | 14:49 Экономика

В начале осени мы уже писали, что специалисты из Symantec внедрились в гигантский ботнет, используемый для скликивания рекламных объявлений. Ниже – развитие ситуации.

Европейские власти в сотрудничестве с Microsoft на этой неделе включиллись в процесс блокирования одного из крупнейших ботнетов мира – ZeroAccess, поработившего более двух миллионов компьютеров во всём мире ради сложной и прибыльной схемы обмана онлайн-рекламодателей.

В процессе заняты Европейскbq центр по борьбе с киберпреступностью (EC3, подразделение Европола) при поддержке аналогичных подразделений из Германии, Латвии, Швейцарии и Нидерландов, — стран, в которых были размещены сервера, контролирующие ботнет.

Совместно с правоохранительными органами европейских стран, Microsoft подает гражданский иск, против восьми человек, подозреваемых в киберпреступлениях, а также блокирующий входящие и исходящие коммуникации между инфицированными ПК в США и 18 контролирующими серверами, как сказано в заявлении EC3.

Вредоносное ПО, управлявшее ботнетом, известным также как ZAccess и Sirefef, представляет собой комплексную угрозу, значительно изменившуюся с момента создания этого ПО в 2009 году. Зарождалось оно в качестве вредоносной платформы, распространявшей другое вредоносное ПО, подобное фальшивым антивирусам (так называемое scareware).

В последние годы, однако, лица, контролировавшие ботнет, перестроили систему таким образом, что инфицированные машины оказались вовлечены в схему, позволявшую ботоводам зарабатывать на «скликивании» — практике генерации фальшивых кликов рекламных объявлений без намерения дальнейших контактов с сайтами рекламодателей.

Остаётся неясным, каким образом и как долго скоординированные действия Microsoft и правоохранительных сил Европы смогут влиять на деятельность ботнета в долгосрочной перспективе. Ранние версии ZeroAccess опирались на ряд командно-управляющих серверов, но последние версии подразумевали большую устойчивость и автономность ботнета, обеспечивающие устойчивость к ситуациям, подобным произошедшей на этой неделе.

В частности, ZeroAccess функционирует на архитектуре p2p, благодаря чему инструкции распространяются от одной заражённой машины – к другой. Для такого ботнета не имеет значения отсутствие связи с каким-либо контролирующим узлом: даже если он блокирован, ботнет продолжает функционировать.

Пока что были блокированы лишь управляющие сервера, обеспечивавшие ботнету обновлённые инструкции. Инфицированные машины остаются инфицированными, и Microsoft ещё предстоит определить, кто обеспечивал ботнету трафик до момента демонтажа связей с управляющими серверами.

«Проблема в том, что операторы ботнета всё ещё в состоянии с лёгкостью подключить новый плагин, с помощью которого p2p-сеть ботнета сможет возобновить процесс накликивания и процесс обмана поисковых машин», – говорит Стоун-Гросс, исследователь вопросов безопасности Dell SecureWorks, длительное время изучавший деятельность ZeroAccess.

На сайте Microsoft опубликовано огромное количество информации об этом ботнете и стратегии, призванной обеспечивать дальнейшее соблюдение гражданских прав. Мы будем следить за развитием ситуации.