Kaspersky Lab, Kyrus Tech oraz Microsoft skutecznie zamykają botnet Hlux/Kelihos


2011-09-30
Współpraca ekspertów z firm Kaspersky Lab, Microsoft oraz Kyrus Tech doprowadziła do skutecznego wyłączenia sieci zainfekowanych komputerów znanej pod nazwami Kelihos oraz Hlux.

Jest to ukoronowanie wspólnej walki trzech firm z operatorami botnetów oraz organizacjami hostingowymi, które pozwalają na anonimowe rejestrowanie domen przez cyberprzestępców.

Botnet Kelihos był wykorzystywany do dostarczania miliardów wiadomości spamowych, kradzieży informacji poufnych, przeprowadzania zmasowanych ataków DDoS oraz do wielu innych działań cyberprzestępczych. Eksperci szacują, że składał się on z ponad 40 000 zainfekowanych komputerów. Firma Microsoft podjęła działania prawne przeciwko 24 osobom zaangażowanym w tworzenie infrastruktury botnetu, co pozwoliło na zamknięcie domen wykorzystywanych do kontrolowania go. Pozew obejmował informacje wykryte i rozpracowane przez ekspertów z Kaspersky Lab oraz oświadczenie firmy Kyrus Tech obejmujące dowody dotyczące botnetu.

Eksperci z Kaspersky Lab odegrali kluczową rolę w wyłączaniu botnetu, śledząc jego aktywność od początku 2011 r. Właśnie wtedy firma zaczęła współpracować z Microsoftem i udostępniła opracowany przez siebie specjalny system pozwalający na monitorowanie aktywności tej sieci zainfekowanych komputerów w czasie rzeczywistym. Kaspersky Lab zadbał także o to, by uniemożliwić cyberprzestępcom kontrolowanie botnetu. Specjaliści z firmy dokonali szczegółowej analizy kodu wykorzystywanego do tworzenia sieci zainfekowanych komputerów, złamali protokół komunikacyjny wykorzystywany przez przestępców, wykryli słabe punkty w infrastrukturze botnetu i stworzyli narzędzia pozwalające na zlikwidowanie zagrożenia. Ponadto, ekspertom z Kaspersky Lab udało się dołączyć do botnetu własny, specjalnie przygotowany system, przejąć kontrolę nad siecią należącą do cyberprzestępców i doprowadzić do całkowitego jej wyłączenia.

Doceniając zasługi ekspertów z Kaspersky Lab w wyeliminowaniu zagrożenia, Richard Boscovich, starszy pełnomocnik w dziale Digital Crimes firmy Microsoft, powiedział: "Kaspersky Lab odegrał kluczową rolę w akcji, dostarczając nam szczegółowe dane uzyskane na podstawie analizy technicznej oraz unikatową wiedzę na temat botnetu Kelihos. Dzięki tym informacjom udało się skutecznie zlikwidować botnet. Jesteśmy bardzo wdzięczni za udzieloną pomoc oraz za determinację ekspertów z Kaspersky Lab w czynieniu Internetu bezpieczniejszym miejscem".

„Od 26 września 2011 r., kiedy uruchomiliśmy procedurę wyłączenia botnetu Kelihos, cyberprzestępcy utracili możliwość korzystania z tej sieci zainfekowanych komputerów” – mówi Tillmann Werner, starszy analityk zagrożeń z Kaspersky Lab. „Dzięki temu, że nasz specjalny system został włączony do botnetu, możemy teraz na bieżąco śledzić infekcje w poszczególnych krajach. Dotychczas wykryliśmy ponad 61 tysięcy zainfekowanych maszyn i pracujemy z dostawcami usług internetowych, by całkowicie wyeliminować zagrożenie spowodowane przez Kelihosa”.

Kelihos to sieć zainfekowanych plików działająca na zasadzie P2P (podobnie jak popularne platformy torrent do współdzielenia plików w Internecie). Składa się z wielu warstw zainfekowanych komputerów: kontrolerów, routerów i stacji roboczych. Kontrolery to maszyny obsługiwane przez cyberprzestępców odpowiedzialnych za stworzenie botnetu. Służą one do przesyłania poleceń do szkodliwych programów działających na zainfekowanych komputerach i nadzorowania dynamicznej struktury sieci. Routery to zainfekowane komputery posiadające publiczne adresy IP. Pozwalają na wysyłanie spamu, gromadzenie adresów e-mail, podsłuchiwanie pracy użytkowników itd.

Microsoft ogłosił, że dodał procedury wykrywające szkodliwe oprogramowanie związane z botnetem Kelihos do swojego rozwiązania Malicious Software Removal Tool. Użytkownicy produktów Kaspersky Lab są w pełni chronieni przed szkodliwymi programami związanymi z botnetem Kelihos.

Współpraca firm Kaspersky Lab oraz Microsoft trwa już od dłuższego czasu. Przed wspólnym zlikwidowaniem botnetu Kelihos firmom udało się zneutralizować zagrożenie wywołane przez robaka Stuxnet, który zainfekował przemysłowe systemy kontroli wykorzystywane, między innymi, w elektrowniach atomowych.


Kaspersky Lab dziękuje firmie SURFnet (http://www.surfnet.nl) za pomoc w omawianej akcji, a w szczególności za dostarczenie infrastruktury, która pozwoliła na wyłączenie botnetu.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Nadesłał:

Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl