Швейцарский эксперт по безопасности Роман Хюссе, наблюдающий за активностью ZeuS-ботнетов при помощи системы слежения ZeuS Tracker, отмечает резкое уменьшение количества контролирующих центров этих сетей. Этот феномен Хюссе связывает с отключением провайдера Troyak-as.
9 марта количество активных контролирующих центров ZeuS-ботнетов упало с 249 до 181, а 11 числа их и вовсе осталось лишь 104. Соответственно снизилась и активность ботнетов.
Проанализировав "выпавшие" из учета ботнеты, Хюссе пришёл к выводу, что все их контролирующие центры хостились у нескольких провайдеров, которые выходили в Сеть через автономную систему TROYAK-AS Starchenko Roman Fedorovich (AS50215). Эти "надежные" провайдеры отличались тем, что их нельзя убедить отключить недобросовестных клиентов.
По состоянию на 9 марта Хюссе привел список из шести низлежащих автономных сетей, три из которых, судя по IP-адресам, находятся в Молдове, две в России и еще одна — на Украине. В каждой из них находилось от 5 до 18 контролирующих центров.
Как отмечалось выше, 11 марта перестали проявлять активность более 140 ZeuS-ботнетов. По словам Хюссе, обычно одна ZeuS-сеть состоит из 20-50 тысяч ботов. Но даже если исходить из 10 тысяч, легко подсчитать, что речь идет о полутора миллионах зараженных компьютеров, которые перестали получать команды от своих контролирующих центров.
За эти два дня Troyak успел появиться в Сети, подключившись к новому провайдеру, снова выпасть и опять появится. Доступ ему сейчас предоставляет ОАО "РТКомм.РУ", дочерняя компания "Ростелекома".
Хюсси считает, что пастухам пострадавших ботнетов уже не удастся восстановить контроль над ними. По его мнению, имея "надежных" провайдеров, они вряд ли задумывались над необходимостью держать резервные серверы.
С другой стороны, по мнению независимого ИБ-эксперта Данчо Данчева, радоваться в нынешней ситуации особо нечему. Поднять новый ZeuS-ботнет в экономическом плане куда проще, чем восстановить контроль над старым, говорит Данчев, так что отключение провайдера не может нанести серьезный удар по самой бизнес-модели преступников.
Однако, стоит учесть еще один аспект. ZeuS-ботнеты обычно пополняются за счет спам-рассылок с вредоносными ссылками. По данным Энди Фрида из компании Deteque, спам, имеющий отношение к ZeuS, неожиданно прекратился 27 февраля и до сих пор не возобновлялся. И причины этого пока неизвестны.
Источник: SecurityLab
|