«Лабораторія Касперського» повторно знищила один з найцікавіших ботнетів сучасності Hlux. Ботнет відомий своєю високою ефективністю в розсилці спаму і ймовірної приналежністю програмістам з Санкт-Петербурга.
«Лабораторія Касперського» повідомила про ліквідацію ботнету Hlux, відомого також як Kelihos.
За повідомленням «Лабораторії», в результаті операції, в якій брали участь компанії Crowd Strike, Honeynet і Dell SecureWorks, була знешкоджена ботмережа розміром 109 тис. Комп'ютерів.
Hlux / Kelihos - один з найцікавіших ботнетів сучасності. Його перша версія при житті привертала до себе увагу своєю винятковою ефективністю: при розмірах ботсеті близько 40 тис. Заражених ПК, Hlux розсилав до 4 млрд спам-листів в день, що можна порівняти з продуктивністю великого ботнету Rustock.
При вартості розсилки 1 млн спамерських листів від $ 250 до $ 500, виручка власників Kelihos теоретично могла досягати $ 2 млн в день, проте розмір знову знищеної другої версії ботнету виявився майже втричі більше, ніж у її попередника.
У їх числі опинився Андрій Сабельников. співробітник компанії Teknavo, пітерського аутсорсингового розробника банківського ПЗ. Раніше він працював в декількох компаніях, зайнятих проблемами інформаційної безпеки.
Сабельников, який перебував в той момент в США, спішно повернувся в Росію і в своєму блозі відкинув звинувачення в причетності до роботи Kelihos і до розсилки спаму. В процесі написання цього матеріалу зв'язатися з Сабельникова не вдалося.
Ботнет Kelihos, відомий також як Hlux, розсилав до 4 млрд спам-листів в день
Можна відзначити, що сама «Лабораторія Касперського», що займалася технічною стороною виявлення і ліквідації Hlux / Kelihos, жодного разу не заявляла про причетність Сабельникова до оперативного управління або створення цього ботнету. У розмові про його відношенню до ботнету Hlux представники антивірусної компанії заявили CNews, що дізналися про неї з публікацій в ЗМІ.
У той же час іноземні техноблоггери, розвиваючі тематику інформаційної безпеки, припускають, що за ботнетом Kelihos варто інша людина.
Розповідаючи про відроджену та повторно знищеної версії Hlux / Kelihos, головний антивірусний експерт «Лабораторії Касперського» Олександр Гостєв відзначає, що, якщо стара версія ботнету зверталася до керуючих серверів, розташованим в зоні Кокосових островів cz.cc, то другий ботнет почав використовувати для цього домени в загальноєвропейській зоні .eu, яка недавно «стала розсадником підозрілих сайтів».
Міграція «підозрілих сайтів» в .eu почалася, коли зусиллями Microsoft була закрита «хакерська» cz.cc. На думку Гостєва, міграція бот-серверів в .eu обумовлена тим, що «позбавити домен делегування домену в зоні .eu все ж складніше, ніж в інших популярних зонах, наприклад, в .com».
Говорячи про технологічну стороні відродженого ботнету, експерт відзначає серйозні проблеми в його архітектурі: «Розробники ботнету наступили на ті ж граблі що й в перший раз. Схоже на те, що вони не в змозі якісно переписати вихідний код, а просто внесли косметичні зміни в першу версію Hlux ».
Your browser does not support the video tag.