Трояны ZeuS потеряли свою активность

Швейцарский эксперт по безопасности Роман Хюссе (Roman Hüsse), наблюдающий за активностью ZeuS-ботнетов при помощи системы слежения ZeuS Tracker, отмечает резкое уменьшение количества контролирующих центров этих сетей. Этот феномен Хюссе связывает с отключением провайдера Troyak-as.

9 марта количество активных контролирующих центров ZeuS-ботнетов упало с 249 до 181, а 11 числа их и вовсе осталось лишь 104. Соответственно снизилась и активность "обезглавленных" ботнетов.

Проанализировав "выпавшие" из учёта ботнеты, Хюссе пришёл к выводу, что все их контролирующие центры хостились у нескольких провайдеров, которые выходили в Сеть через автономную систему TROYAK-AS Starchenko Roman Fedorovich (AS50215). Эти провайдеры в терминологии ZeuS Tracker считались "пуленепробиваемыми", что на практике означает, что их нельзя убедить перекрыть кислород недобросовестным клиентам.

По состоянию на 9 марта Хюссе привёл список из шести низлежащих автономных сетей, три из которых, судя по IP-адресам, находятся в Молдове, две в России и ещё одна — на Украине. В каждой из них нашли свой приют от 5 до 18 контролирующих центров.

Как отмечалось выше, 11 марта признаки жизни перестали подавать более 140 ZeuS-ботнетов. По словам Хюссе, имевшего чат с журналистом Брайаном Кребсом (Brian Krebs), обычно одна ZeuS-сеть состоит из 20-50 тысяч ботов. Но даже если исходить из 10 тысяч, легко подсчитать, что речь идёт о полутора миллионах зараженных компьютеров, которые перестали получать команды от своих контролирующих центров.

За эти два дня Troyak успел объявиться в Сети, подключившись к новому провайдеру, снова выпасть и опять показаться на плаву. Доступ ему сейчас предоставляет не кто-нибудь, а ОАО "РТКомм.РУ", дочка "Ростелекома".

Несмотря на это, хостеры контролирующих центров ZeuS-ботнетов до сих пор в отключке. Хюсси считает, что пастухам пострадавших зомби-сетей уже не удастся восстановить контроль над ними. По его мнению, имея "пуленепробиваемых" провайдеров, они вряд ли задумывались над необходимостью держать резервные серверы.

С другой стороны, как считает независимый эксперт по кибербезопасности Данчо Данчев, радоваться особо нечему. Поднять новый ZeuS-ботнет в экономическом плане куда проще, чем восстановить контроль над старым, говорит Данчев, так что отключение провайдера не может нанести серьёзный удар по самой бизнес-модели преступников.

Имеется, впрочем, ещё один аспект. ZeuS-ботнеты обычно пополняются за счёт спам-рассылок с вредоносными ссылками. Однако, по данным Энди Фрида (Andy Fried) из компании Deteque, спам, имеющий отношение к ZeuS, неожиданно прекратился 27 февраля и до сих пор не возобновлялся. Причины этого пока неизвестны.

Напомним, что ZeuS — это хакерский инструментарий, который можно приобрести на чёрном рынке и, при наличии небольшой фантазии, развернуть с его помощью собственную зомби-сеть. Трояны ZeuS специализируются на краже логинов и паролей, при этом преступников обычно интересуют пароли к системам онлайн-банкинга. Знающим английский рекомендуется изучить PDF-отчёт по ZeuS, подготовленный недавно компанией Trend Micro.

Обновлено в 11:00 Ситуация меняется буквально на глазах. После подключения Troyak через РТКомм многие потерянные ботнеты вернулись к своим "хозяевам". По последним данным статистики, количество активных серверов с командными центрами выросло до 194.

Владелец Troyak Роман Старченко пояснил журналистам The Register, что причиной всех этих пертурбаций финансовая — по рассеянности он забыл вовремя оплатить услуги своему провайдеру. Он также заметил, что знает о том, что услугами его клиентов могут пользоваться "пастухи" ботнетов, но никаких шагов в этой связи он не предпринимал и не будет, пока не получит хоть какое-то письмо от правоохранительных органов своей страны. Судя по всему, речь идёт о Казахстане.

Между тем, на данный момент Старченко, похоже, успел опять сменить провайдера — на JSC Nline (AS25189). Сам же он сейчас предоставляет провайдерские услуги только для одной сети. Все шесть упомянутых ранее недобросовестных клиентов Troyak сейчас, похоже, не при делах, так что вполне возможно, что большинство "пастухов" успели перетащить командные центры на серверы других хостеров.

Игорь Крейн