Botnet Hlux/Kelihos przestał istnieć
03.10.2011 11:04
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Współpraca ekspertów z firm Kaspersky Lab, Microsoft oraz Kyrus Tech doprowadziła do skutecznego wyłączenia sieci zainfekowanych komputerów znanej pod nazwami Kelihos oraz Hlux.
Botnet Kelihos był wykorzystywany do dostarczania miliardów wiadomości spamowych, kradzieży informacji poufnych, przeprowadzania zmasowanych ataków DDoS oraz do wielu innych działań cyberprzestępczych. Eksperci szacują, że składał się on z ponad 4. 000 zainfekowanych komputerów. Firma Microsoft podjęła działania prawne przeciwko 24 osobom zaangażowanym w tworzenie infrastruktury botnetu, co pozwoliło na zamknięcie domen wykorzystywanych do kontrolowania go. Pozew obejmował informacje wykryte i rozpracowane przez ekspertów z Kaspersky Lab oraz oświadczenie firmy Kyrus Tech obejmujące dowody dotyczące botnetu.
Eksperci z Kaspersky Lab odegrali ważną rolę w wyłączaniu botnetu, śledząc jego aktywność od początku 201. r. Właśnie wtedy firma zaczęła współpracować z Microsoftem i udostępniła opracowany przez siebie specjalny system pozwalający na monitorowanie aktywności tej sieci zainfekowanych komputerów w czasie rzeczywistym. Kaspersky Lab zadbał także o to, by uniemożliwić cyberprzestępcom kontrolowanie botnetu. Specjaliści z firmy dokonali szczegółowej analizy kodu wykorzystywanego do tworzenia sieci zainfekowanych komputerów, złamali protokół komunikacyjny wykorzystywany przez przestępców, wykryli słabe punkty w infrastrukturze botnetu i stworzyli narzędzia pozwalające na zlikwidowanie zagrożenia. Ponadto, udało się dołączyć do botnetu własny, specjalnie przygotowany system, przejąć kontrolę nad siecią należącą do cyberprzestępców i doprowadzić do całkowitego jej wyłączenia.
Kelihos to sieć zainfekowanych plików działająca na zasadzie P2. (podobnie jak popularne platformy torrent do współdzielenia plików w Internecie). Składa się z wielu warstw zainfekowanych komputerów: kontrolerów, routerów i stacji roboczych. Kontrolery to maszyny obsługiwane przez cyberprzestępców odpowiedzialnych za stworzenie botnetu. Służą one do przesyłania poleceń do szkodliwych programów działających na zainfekowanych komputerach i nadzorowania dynamicznej struktury sieci. Routery to zainfekowane komputery posiadające publiczne adresy IP. Pozwalają na wysyłanie spamu, gromadzenie adresów e-mail, podsłuchiwanie pracy użytkowników itd.
Microsoft ogłosił, że dodał procedury wykrywające szkodliwe oprogramowanie związane z botnetem Kelihos do swojego rozwiązania Malicious Software Removal Tool.
Źródło: Kaspersky Lab
