Kaspersky i CrowdStrike zamykają drugi botnet Hlux/Kelihos

Eksperci z Kaspersky Lab we współpracy z CrowdStrike Intelligence Team i członkami grupy Honeynet Project powstrzymali drugi botnet Hlux (znany również jako Kelihos). Rozmiar tego botnetu był prawie trzy razy większy, niż w przypadku pierwszego botnetu Hlux/Kelihos, wyłączonego we wrześniu 2011 r.

Kaspersky i CrowdStrike zamykają drugi botnet Hlux/Kelihos
Źródło zdjęć: © Materiały prasowe
1

Zaledwie 5 dni od rozpoczęcia procedury zamknięcia botnetu, Kaspersky Lab zneutralizował ponad 10. 000 zainfekowanych komputerów. Szacuje się, że pierwszy botnet Hlux/Kelihos posiadał tylko 40 000 maszyn kontrolowanych przez cyberprzestępców. Po wstępnej analizie okazało się, że ogromna ilość zainfekowanych komputerów wykorzystywanych przez cyberprzestępców w ramach nowego Hluxa działała w Polsce.

We wrześniu 201. r. firma Kaspersky Lab współpracowała z firmami Microsoft, SurfNet i Kyrus Tech, Inc., co doprowadziło do pomyślnego wyłączenia oryginalnego botnetu Hlux/Kelihos. W tym czasie eksperci z Kaspersky Lab przeprowadzili tzw. operację leja, która odłączyła botnet i jego infrastrukturę od serwera kontrolowanego przez cyberprzestępców.

Mimo zneutralizowania i przejęcia kontroli nad oryginalnym botnetem nowy raport ujawnił działanie drugiej sieci zainfekowanych komputerów Hlux/Kelihos. Chociaż botnet był nowy, szkodliwe oprogramowanie zostało stworzone przy pomocy tego samego kodu, który wykorzystano pierwotnie. Nowe szkodliwe oprogramowanie pokazało, że drugi botnet posiadał kilka uaktualnień, włączając w to metody infekcji i funkcje Bitcoin do tworzenia własnej kopalni oraz kradzieży portfeli z wirtualną walutą. Tak jak w przypadku pierwszej wersji, botnet ten również używał swojej sieci zainfekowanych komputerów do wysyłania spamu, kradzieży danych osobistych i przeprowadzania ataków typu DDoS na określone cele.

W jaki sposób wyłączono drugi botnet Hlux/Kelihos?
W tygodniu rozpoczynającym się od 1. marca zainicjowano nową operację leja, która spowodowała pomyślne wyłączenie botnetu. Oba botnety Hlux/Kelihos działały w trybie peer-to-peer (P2P), co oznacza, że każdy zainfekowany komputer mógł być jednocześnie serwerem, jak i klientem. Jest to zupełne przeciwieństwo tradycyjnych botnetów, które polegają na działają w oparciu o jeden serwer kontroli.

Aby zneutralizować elastyczny botnet P2P, grupa ekspertów ds. bezpieczeństwa utworzyła globalną, rozproszoną sieć maszyn, które zostały zainstalowane w infrastrukturze Hluxa. Po krótkim czasie eksperci z Kaspersky Lab byli w stanie przejąć kontrolę nad duża liczbą zainfekowanych komputerów, uniemożliwiając tym samym cyberprzestępcom uzyskanie dostępu do tych maszyn. Wraz z neutralizacją coraz większej liczby zainfekowanych systemów nastąpiło „zapadnięcie się”. infrastruktury botnetu – jego siła gwałtownie zmalała.

Wraz z rozpoczęciem 1. marca operacji leja botnet przestał poprawnie działać. Dzięki przejęciu kontroli nad większością zainfekowanych komputerów, eksperci z Kaspersky Lab prowadzą analizę danych w celu namierzenia liczby infekcji i ich geograficznych lokalizacji. Do chwili obecnej wykryto 109 000 unikatowych adresów IP, z wykorzystaniem których działały zainfekowane komputery wchodzące w skład nowego Hluxa. Ogromna ilość takich maszyn (29 000) funkcjonowała w Polsce.

1

Wybrane dla Ciebie

Mają 236 mln lat. Najstarsze skamieniałości motyli
Mają 236 mln lat. Najstarsze skamieniałości motyli
Iran chwali się zniszczeniem F-35. Zdjęcia świadczą o czymś innym
Iran chwali się zniszczeniem F-35. Zdjęcia świadczą o czymś innym
Pociski powietrze-powietrze dalekiego zasięgu. Pogromcy AWACS-ów i latających cystern
Pociski powietrze-powietrze dalekiego zasięgu. Pogromcy AWACS-ów i latających cystern
Nowa data startu Uznańskiego. Ważny komunikat od organizatorów
Nowa data startu Uznańskiego. Ważny komunikat od organizatorów
Izrael, Iran i pizza. Pentagon wiedział?
Izrael, Iran i pizza. Pentagon wiedział?
Polak leci w kosmos. Jest nowa data startu misji Ax-4
Polak leci w kosmos. Jest nowa data startu misji Ax-4
Izraelski Arrow w akcji. System pokazał, do czego został stworzony
Izraelski Arrow w akcji. System pokazał, do czego został stworzony
Ma grubość atomu. Naukowcy skonstruowali innowacyjny komputer
Ma grubość atomu. Naukowcy skonstruowali innowacyjny komputer
Nowe śmigłowce Apache. "To będzie stanowiło absolutny priorytet"
Nowe śmigłowce Apache. "To będzie stanowiło absolutny priorytet"
Izrael atakuje instalacje nuklearne. "Oceniona zostanie skala uszkodzeń"
Izrael atakuje instalacje nuklearne. "Oceniona zostanie skala uszkodzeń"
Amerykańska pomoc dla Izraela. Sojusznik na specjalnych warunkach
Amerykańska pomoc dla Izraela. Sojusznik na specjalnych warunkach
Nieziemska pogoda. Już niedługo wiatr słoneczny dotrze do Ziemi
Nieziemska pogoda. Już niedługo wiatr słoneczny dotrze do Ziemi