Securitate Tech

Botnet-ul Hlux/Kelihos a fost anihilat

Botnet-ul Hlux/Kelihos a fost anihilat

Botnet-ul, compus din aproximativ 40.000 de computere infectate, era folosit de către infractorii cibernetici pentru a trimite miliarde de mesaje spam, a fura informaţii personale, a lansa atacuri DDoS, precum şi pentru alte activităţi ilegale.

Microsoft a iniţiat un proces împotriva a 24 de persoane aflate în spatele acestui botnet, acţiune care a dus la închiderea domeniilor de Internet folosite de serverele de comandă şi control ale reţelei. Iniţiativa Microsoft a fost susţinută prin contribuţii din partea Kaspersky Lab şi o declaraţie directă din partea Kyrus Tech, care oferea informaţii detaliate şi dovezi despre Kelihos.

Kaspersky Lab a jucat un rol important în dezactivarea botnet-ului, colaborând cu Microsoft încă de la începutul anului 2011 şi oferind informaţii în timp real despre activitatea Kelihos. La momentul actual, Kaspersky Lab se asigură că reţeaua nu mai poate fi controlată de nimeni – specialiştii companiei au modificat codul folosit în administrarea acesteia, au spart protocolul de comunicare, au descoperit vulnerabilităţile infrastructurii peer-to-peer şi au dezvoltat instrumentele specifice pentru a o contracara. În momentul în care acţiunea legală a Microsoft a condus la dezactivarea domeniilor de Internet folosite de atacatori, Kaspersky Lab a pătruns în reţea şi a preluat-o sub administrarea sa.

„Din 26 septembrie, când Kaspersky Lab a iniţiat operaţiunea de infiltrare în botnet, acesta a fost inoperabil”, afirmă Tillmann Werner, Senior Malware Analyst Kaspersky Lab Germania. „Calculatoarele-zombie comunică acum cu noi, de aceea putem iniţia, de exemplu, activităţi pentru a descoperi numărul de infecţii pentru fiecare ţară. Până acum, Kaspersky Lab a numărat 61.463 de adrese IP infectate şi colaborează cu toţi furnizorii de servicii Internet (ISP) implicaţi, pentru a avertiza administratorii reţelelor cu privire la acestea”, încheie Werner.

Kelihos este un botnet de tip peer-to-peer şi este compus din mai multe straturi – „controllers”, „routers” şi „workers”. „Controllers” sunt computerele presupuse a fi controlate de către infractorii cibernetici. Acestea distribuie comenzi tuturor celorlalte unităţi şi supraveghează structura dinamică a reţelei peer-to-peer. „Routers” sunt maşini infectate, care au adrese IP publice, şi sunt utilizate pentru a trimite spam, a colecta adrese de e-mail, a fura date de autentificare din fluxul reţelei şi multe altele.

Microsoft a anunţat că a adăugat semnătura de detecţie pentru malware-ul Kelihos în Malicious Software Removal Tool, distribuit prin serviciul de update automat, care a dus la dezinfectarea unui număr mare de computere.

Kaspersky Lab colaborează în mod constant cu Microsoft, un exemplu recent în acest sens fiind operaţiunea de identificare şi eliminare a viermelui Stuxnet, folosit de hackeri pentru a controla infrastructura IT industrială a centralelor nucleare din Iran.

Kaspersky Lab a iniţiat şi un sondaj, prin intermediul căruia întreabă utilizatorii cum trebuie să procedeze cu botnet-ul Kelihos, din moment ce are control asupra sa. Pentru a răspunde, accesaţi http://www.securelist.com/en/polls.

Kaspersky Lab mulţumeşte SURFnet pentru susţinere în derularea operaţiunii de infiltrare în botnet-ul Kelihos.