Заметки о сетевой безопастности

В Испании арестованы трое создателей одной из крупнейших компьютерных вирусных сетей Mariposa. В нее входили около 12,7 миллиона компьютеров по всему миру. У владельцев этих ПК хакеры воровали финансовые данные, а сами компьютеры использовались для рассылки спама и атак на сайты.

В полиции говорят, что решение о виновности задержанной троицы будет принимать суд, но у самих полицейских есть доказательство в пользу того, что именно задержанные стоят за созданием бот-сети Mariposa (по-испански «бабочка»). Предполагается, что в число зараженных троянами компьютеров входили машины около половины компаний из списка крупнейших компаний США Fortune 1000, а также более 40 крупных банков. В общей сложности сеть распространилась более чем по 190 странам мира.

В ИТ-компании Defence Intelligence, консультировавшей полицию по техническим вопросам в момент задержания, говорят, что совместными усилиями им удалось блокировать работу Mariposa и многие европейские пользователи уже ощутили падение объемов спама. Как отмечает представитель участвовавшей в расследовании испанской компании Panda Security Педро Бустаманте (Pedro Bustamante), компьютерная программа Mariposa, использовавшаяся для заражения компьютеров, создана профессионалами и «очень эффективна».

Вирус был запрограммирован на хищение всех параметров доступа (логины, пароли) пользователя, а также на фиксирование каждого нажатия клавиши инфицированного компьютера. Затем эта информация отсылалась в своеобразный «командный центр», где основные специалисты сети сохраняли и обрабатывали ее.

«Хакеры брались за любую деятельность, связанную с незаконным доступом к компьютерам. Все, что могло принести им прибыль», – говорят в Defence Intelligence.

Изначально Mariposa распространяла свои троянцы через уязвимости в браузере Microsoft Internet Explorer, а также через рассылку вредоносных данных посредством сети Microsoft MSN. В Panda Security сообщают, что двое из организаторов были задержаны в феврале, еще двое подозреваемых – вчера.

По данным полиции, расследование и борьба с Mariposa проводились при посредничестве частных компаний, специализирующихся на информационной безопасности. Всего за время расследования были арестованы три лидера преступной группировки.

Окончательные результаты расследования, как ожидается, будут оглашены в ходе намеченного на сегодня совещания в Мадриде. Однако, по словам полицейских, властям еще предстоит совершить ряд арестов по делу Mariposa.

Эксперты по вопросам безопасности из компании Damballa предупреждают о появлении нового ботнета, за формирование которого отвечает пиратская версия релиз-кандидата Windows 7, зараженная трояном.

По данным компании, первые компьютеры в новой сети появились еще 24 апреля, а с первых чисел мая расширение сети идет со скоростью несколько сотен новых компьютеров в час.

10 мая Damballa зафиксировала и появление в сети командного сервера, передававшего управленческие команды взломанными компьютерам. Сейчас ботнет насчитывает до 27 тысяч зараженных машин, каждая из которых без ведома владельца пытается загрузить из Интернета дополнительные вредоносные компоненты.

Специалистам Damballa удалось идентифицировать командный центр сети «зомбированных» компьютеров и остановить подключение к ботнету новых узлов. Однако злоумышленники до сих пор могут управлять ранее инфицированными машинами. Зараженные трояном ПК распределены по всему миру: примерно десятая их часть находится на территории Соединенных Штатов, еще по семь процентов — в Нидерландах и Италии.

Не исключено, что в перспективе киберпреступники попытаются использовать ботнет с целью организации DoS-атак или для рассылки спама. .