Знаменитый «русский ботнет» возродился и был еще раз убит
«Лаборатория Касперского» повторно уничтожила один из самых интересных ботнетов современности Hlux. Ботнет известен своей высокой эффективностью в рассылке спама и предположительной принадлежностью программистам из Санкт-Петербурга.«Лаборатория Касперского» сообщила о ликвидации ботнета Hlux, известного также как Kelihos.
По сообщению «Лаборатории», в результате операции, в которой принимали участие компании Crowd Strike, Honeynet и Dell SecureWorks, была обезврежена ботсеть размером 109 тыс. компьютеров.
Ликвидированная на нынешней неделе бот-сеть - это уже вторая инкарнация ботнета Hlux, возникшая после того, как «Лаборатория Касперского» совместно с Microsoft уничтожила в октябре 2011 г. . первую.
Hlux/Kelihos - один из интереснейших ботнетов современности. Его первая версия при жизни привлекала к себе внимание своей исключительной эффективностью: при размерах ботсети около 40 тыс. зараженных ПК, Hlux рассылал до 4 млрд спам-писем в день, что сравнимо с производительностью крупного ботнета Rustock.
При стоимости рассылки 1 млн спамерских писем от $250 до $500, выручка владельцев Kelihos теоретически могла достигать $2 млн в день, однако размер вновь уничтоженной второй версии ботнета оказался почти втрое больше, чем у ее предшественника.
Однако в начале 2012 г. Kelihos вызвал вторую волну интереса, когда Microsoft в своем официальном блоге объявила о поданном ею иске в суд Восточного округа американского штата Вирджиния против предполагаемых создателей и операторов ботнета.
В их числе оказался Андрей Сабельников, сотрудник компании Teknavo, питерского аутсорсингового разработчика банковского ПО. Ранее он работал в нескольких компаниях, занятых проблемами информационной безопасности.
Сабельников, находившийся в тот момент в США, спешно вернулся в Россию и в своем блоге отверг обвинение в причастности к работе Kelihos и к рассылке спама. В процессе написания этого материала связаться с Сабельниковым не удалось.
Ботнет Kelihos, известный также как Hlux, рассылал до 4 млрд спам-писем в день
Вероника Пюккенен, представитель компании Teknavo, где Сабельников работал с декабря 2011 г., сообщила CNews, что к нынешнему времени он покинул компанию «по взаимной инициативе».
Можно отметить, что сама «Лаборатория Касперского», занимавшаяся технической стороной выявления и ликвидации Hlux/Kelihos, ни разу не заявляла о причастности Сабельникова к оперативному управлению или созданию этого ботнета. В разговоре о его отношению к ботнету Hlux представители антивирусной компании заявили CNews, что узнали о ней из публикаций в СМИ.
В то же время иностранные техноблоггеры, развивающие тематику информационной безопасности, предполагают, что за ботнетом Kelihos стоит другой человек.
Так, Брайан Кребс (Brian Krebs), автор блога Krebs On Security, с уверенностью называет хозяином Hlux/Kelihos модератора форума Spamdot.biz, известного под ником Peter Severa. По данным ресурса Spamhaus, под этим ником скрывается петербуржец Петр Левашов. В то же время, замечает Кребс, Peter Severa часть платы за свои спам-услуги выводил на счет WebMoney, зарегистрированный на москвича Виктора Сергеевича Ивашова, которому на момент создания аккаунта в 2001 г. было 26 лет.
Рассказывая о возрожденной и повторно уничтоженной версии Hlux/Kelihos, главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев отмечает, что, если старая версия ботнета обращалась к управляющим серверам, расположенным в зоне Кокосовых островов cz.cc, то второй ботнет начал использовать для этого домены в общеевропейской зоне .eu, которая недавно «стала рассадником подозрительных сайтов».
Миграция «подозрительных сайтов» в .eu началась, когда усилиями Microsoft была закрыта «хакерская» cz.cc. По мнению Гостева, миграция бот-серверов в .eu обусловлена тем, что «лишить домен делегирования домена в зоне .eu все же сложнее, чем в других популярных зонах, например, в .com».
Говоря о технологической стороне возрожденного ботнета, эксперт отмечает серьезные проблемы в его архитектуре: «Разработчики ботнета наступили на те же грабли что и в первый раз. Похоже на то, что они не в состоянии качественно переписать исходный код, а просто внесли косметические изменения в первую версию Hlux».