Microsoft, воспользовавшись упоминанием своего бренда в спам-рассылках одного из крупнейших в мире ботнетов Rustock, совместно с властями США добилась прекращения его работы.
Ботнет Rustock, один из крупнейших в мире генераторов спама, прекратил свою работу в результате совместных действий Microsoft и американских властей. Компания подала судебный иск против анонимных операторов ботнета, который позволил властям на прошлой неделе провести ряд скоординированных рейдов, направленных на прекращение работы контролирующих центров Rustock.
«Около года назад мы сообщали, что подразделение Microsoft Digital Crimes Unit по борьбе с киберпреступлениями совместно с властями и экспертами успешно устранило ботнет Waledac, — говорит Ричард Боскович (Richard Boscovich), старший юрист Microsoft Digital Crimes Unit. — Сегодня мы рады объявить о том, что успешно вывели из строя более крупный и комплексный ботнет, известный под названием Rustock. Он включал в себя около миллиона зараженных компьютеров и был способен рассылать миллиарды спам-сообщений ежедневно, включая фальшивые письма о лотерее Microsoft и рекламу поддельных медицинских препаратов».
Как говорят аналитики, закрытие Rustock должно стать серьезным ударом по мировой индустрии спама. Согласно данным компании Symantec, в течение прошлого года этот ботнет отвечал за 39% всего рассылавшегося в мире спама. В некоторые периоды времени его доля доходила до 60%. Сейчас эксперты уже отмечают значительное снижение объемов рассылаемого спама по всему миру. Впрочем, опыт показывает, что через некоторое время после закрытия очередного «рассадника спама» объемы пересылаемой нежелательной корреспонденции восстанавливаются за счет новых бот-сетей.
В недавнем докладе компании SecureWorks говорится, что ботнет Rustock был первопроходцем по части использования целого ряда техник, позволяющих избежать обнаружения зараженных машин и усложнить структуру управления сетью для экспертов по безопасности. Так, например, многие компьютеры, зараженные ботнетом, должны были оставаться в ожидающем режиме до пяти дней после заражения перед тем, как начать рассылать спам, чтобы избежать обнаружения.
«Как и в случае с Waledac, в своих действиях мы опирались на правовые и технические меры, чтобы разорвать связь между командной структурой сети и зараженными вредоносным ПО компьютерами, работающими под ее контролем. Ботнет Rustock был официально закрыт 16 марта 2011 г. после многомесячного расследования DCU и наших партнеров. Что касается мер, направленных на борьбу с ботнетом, Microsoft подала судебный иск против операторов Rustock, отчасти на основании нарушения торговых марок Microsoft в спаме, рассылаемом ботнетом. Мы получили разрешение суда на сотрудничество с правоохранительными органами для физического захвата доказательств преступной деятельности в рамках инфраструктуры Rustock», — сообщил Боскович.
По его словам, в рамках совместных рейдов с властями сервера, содержащие информацию о работе Rustock, были изъяты у пяти хостинг-провайдеров, работающих в семи городах США. Это позволило обнаружить IP-адреса, контролирующие ботнет, и отключить их. Сейчас власти продолжают расследование и поиск людей, стоящих за созданием сети.
О связи Rustock с Россией кроме названия говорит то, что осенью 2008 г. в момент краткого возвращения в онлайн отключенного тогда провайдера McColo данные с управляющих серверов ботнета передавались сюда. О том, что трафик со скоростью 15 МБ в секунду шел именно на российские серверы, заявлял эксперт TrendMicro Пол Фергюсон (Paul Ferguson).