Botnet Kelihos zamknięty

01-10-2011, 11:09

Współpraca ekspertów z firm Kaspersky Lab, Microsoft i Kyrus Tech doprowadziła do skutecznego wyłączenia sieci zainfekowanych komputerów Kelihos, znanej także jako Hlux.

Botnet Kelihos był wykorzystywany do rozsyłania wiadomości spamowych, kradzieży poufnych danych, przeprowadzania zmasowanych ataków DDoS oraz wielu innych działań cyberprzestępczych. Eksperci szacują, że składał się z ponad 61 tys. zarażonych komputerów (co akurat nie jest dużo, bo – na przykład – niesławny robak Conficker zdołał zainfekować co najmniej 6,5 mln maszyn, a do wyłączonego na początku 2010 r. botnetu Mariposa należało 13 mln komputerów-zombie).

Microsoft podjął działania prawne przeciwko 24 osobom zaangażowanym w tworzenie infrastruktury botnetu, co pozwoliło na zamknięcie domen wykorzystywanych do jego kontrolowania. Pozew obejmował informacje wykryte i rozpracowane przez ekspertów z Kaspersky Lab oraz oświadczenie firmy Kyrus Tech zawierające dowody dotyczące botnetu.

Czytaj także: Duże botnety są niemal niezniszczalne

Specjaliści z Kaspersky Lab rozpoczęli współpracę z Microsoftem na początku 2011 r. Udostępnili wówczas opracowany przez siebie system pozwalający na monitorowanie aktywności botnetu w czasie rzeczywistym. Dokonali też szczegółowej analizy kodu użytego do stworzenia sieci zainfekowanych komputerów, złamali protokół komunikacyjny wykorzystywany przez cyberprzestępców, wykryli słabe punkty w infrastrukturze botnetu i stworzyli narzędzia pozwalające na zlikwidowanie zagrożenia.

– Od 26 września 2011 r., kiedy uruchomiliśmy procedurę wyłączenia botnetu Kelihos, cyberprzestępcy utracili możliwość korzystania z tej sieci zainfekowanych komputerów – mówi Tillmann Werner, starszy analityk zagrożeń z Kaspersky Lab. – Dzięki temu, że nasz specjalny system został włączony do botnetu, możemy teraz na bieżąco śledzić infekcje w poszczególnych krajach. Dotychczas wykryliśmy ponad 61 tysięcy zainfekowanych maszyn i pracujemy z dostawcami usług internetowych, by całkowicie wyeliminować zagrożenie spowodowane przez Kelihosa.

Czytaj także: Ochrona prywatności przeszkadza w zwalczaniu botnetów?

Kelihos/Hlux to sieć zainfekowanych plików działająca na zasadzie P2P (podobnie jak popularne platformy torrent do współdzielenia zasobów w internecie). Składa się z wielu warstw zarażonych komputerów: kontrolerów, routerów i stacji roboczych. Kontrolery to maszyny obsługiwane przez cyberprzestępców odpowiedzialnych za stworzenie botnetu. Ich zadaniem jest przesyłanie poleceń do szkodliwych programów działających na zainfekowanych maszynach i nadzorowanie dynamicznej struktury sieci. Routery to zarażone komputery posiadające publiczne adresy IP. Pozwalają na wysyłanie spamu, gromadzenie adresów e-mail, podsłuchiwanie pracy użytkowników itd.


Źródło: Kaspersky Lab
Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy