Kaspersky Lab i CrowdStrike zamykają drugi botnet Hlux/Kelihos


Kaspersky Lab i CrowdStrike zamykają drugi botnet Hlux/Kelihos
2012-03-29
Po wstępnej analizie okazało się, że ogromna ilość zainfekowanych komputerów wykorzystywanych przez cyberprzestępców w ramach nowego Hluxa działała w Polsce.
Eksperci z Kaspersky Lab we współpracy z CrowdStrike Intelligence Team i członkami grupy Honeynet Project powstrzymali drugi botnet Hlux (znany również jako Kelihos). Rozmiar tego botnetu był prawie trzy razy większy niż w przypadku pierwszego botnetu Hlux/Kelihos, wyłączonego we wrześniu 2011 r. Zaledwie 5 dni od rozpoczęcia procedury zamknięcia botnetu, Kaspersky Lab zneutralizował ponad 109 000 zainfekowanych komputerów. Szacuje się, że pierwszy botnet Hlux/Kelihos posiadał tylko 40 000 maszyn kontrolowanych przez cyberprzestępców.

We wrześniu 2011 r. firma Kaspersky Lab współpracowała z firmami Microsoft, SurfNet i Kyrus Tech, Inc., co doprowadziło do pomyślnego wyłączenia oryginalnego botnetu Hlux/Kelihos. W tym czasie eksperci z Kaspersky Lab przeprowadzili tzw. operację leja, która odłączyła botnet i jego infrastrukturę od serwera kontrolowanego przez cyberprzestępców.

Mimo zneutralizowania i przejęcia kontroli nad oryginalnym botnetem nowy raport opublikowany w lutym 2012 r. przez ekspertów z Kaspersky Lab (http://www.kaspersky.pl/about.html?s=news_press&cat=1&newsid=1678) ujawnił działanie drugiej sieci zainfekowanych komputerów Hlux/Kelihos. Chociaż botnet był nowy, szkodliwe oprogramowanie zostało stworzone przy pomocy tego samego kodu, który wykorzystano pierwotnie. Nowe szkodliwe oprogramowanie pokazało, że drugi botnet posiadał kilka uaktualnień, włączając w to metody infekcji i funkcje Bitcoin do tworzenia własnej kopalni oraz kradzieży portfeli z wirtualną walutą. Tak jak w przypadku pierwszej wersji, botnet ten również używał swojej sieci zainfekowanych komputerów do wysyłania spamu, kradzieży danych osobistych i przeprowadzania ataków typu DDoS na określone cele.

W jaki sposób wyłączono drugi botnet Hlux/Kelihos?
W tygodniu rozpoczynającym się od 19 marca firma Kaspersky Lab, CrowdStrike Intelligence Team i grupa Honeynet Project zainicjowały nową operację leja, która spowodowała pomyślne wyłączenie botnetu. Oba botnety Hlux/Kelihos działały w trybie peer-to-peer (P2P), co oznacza, że każdy zainfekowany komputer mógł być jednocześnie serwerem, jak i klientem. Jest to zupełne przeciwieństwo tradycyjnych botnetów, które polegają na działają w oparciu o jeden serwer kontroli.

Aby zneutralizować elastyczny botnet P2P, grupa ekspertów ds. bezpieczeństwa utworzyła globalną, rozproszoną sieć maszyn, które zostały zainstalowane w infrastrukturze Hluxa. Po krótkim czasie eksperci z Kaspersky Lab byli w stanie przejąć kontrolę nad duża liczbą zainfekowanych komputerów, uniemożliwiając tym samym cyberprzestępcom uzyskanie dostępu do tych maszyn. Wraz z neutralizacją coraz większej liczby zainfekowanych systemów nastąpiło "zapadnięcie się" infrastruktury botnetu – jego siła gwałtownie zmalała.

Wraz z rozpoczęciem 19 marca operacji leja botnet przestał poprawnie działać. Dzięki przejęciu kontroli nad większością zainfekowanych komputerów, eksperci z Kaspersky Lab teraz prowadzić analizę danych w celu namierzenia liczby infekcji i ich geograficznych lokalizacji. Do chwili obecnej wykryto 109 000 unikatowych adresów IP, z wykorzystaniem których działały zainfekowane komputery wchodzące w skład nowego Hluxa. Ogromna ilość takich maszyn (29 000) funkcjonowała w Polsce.

Kaspersky Lab dziękuje firmie CrowdStrike Intelligence Team i grupie Honeynet Project za pomoc i wsparcie w analizie nowego botnetu.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Redakcja Archnews informuje, że artykuły, fotografie i komentarze publikowane są przez użytkowników "Serwisów skupionych w Grupie Kafito". Publikowane materiały i wypowiedzi są ich własnością i ich prywatnymi opiniami. Redakcja Archnews nie ponosi odpowiedzialności za ich treść.

Nadesłał:

Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl