21 июля 2014

Сами себе вендоры: крупные компании бьются с ботнетами

Бизнес

Две недели назад администрация Facebook сообщила о том, что ей удалось ликвидировать средних размеров ботнет под названием Lecpetex, состоявший из 250 тысяч компьютеров. Ботнет интересен тем, что он использовал заражённые компьютеры для генерации виртуальной валюты Litecoin. А также для рассылки спама.

Вообще говоря, Facebook имеет мало отношения к безопасности — по крайней мере, это не его основное направление деятельности. Это не вендор средств информационной защиты. Однако, да, Facebook пришлось брать киберпреступников, что называется, «за хрип», поскольку оставаться в стороне было далее невозможно: ботнет Lecpetex слишком уж сильно затрагивал интересы пользователей Facebook.

640

Главный вопрос тут следующий: а стоит ли вообще оставаться в стороне? В какой момент «агрессивная киберзащита» становится необходимостью для бизнеса?

Что ж, для Facebook это было необходимостью уже в течение некоторого времени. Это уже далеко не первый случай, когда социальной сети приходилось разбираться с ботнетами, атаковавшими компьютеры её пользователей. Lecpetex был ещё достаточно «вегетарианским» и не таким большим.

«Согласно статистике, собранной правоохранительными органами Греции, ботнет мог заразить порядка 250 тысяч компьютеров. Эти заражения позволили операторам ботнета перехватить контроль над компьютерами и использовать их для рассылок социального спама, затронувшего около 50 тысяч аккаунтов на пике волны, — отметили представители Группы по обеспечению безопасности инфраструктуры Facebook. — Создатели Lecpetex, по-видимому, хорошо представляют, как уклоняться от обнаружения антивирусными средствами, поскольку они постоянно вносили изменения в своё вредоносное ПО. В общей сложности, операторы ботнета запустили более 20 волн спама в период между декабрём 2013 и июнем 2014 гг.»

Согласно сообщению Facebook, Lecpetex «практически исключительно» использовал социальную инженерию, чтобы заставить пользователей запускать вредоносные приложения на Java и скрипты. Lecpetex распространялся через контакты в Facebook, и, кстати, ровно поэтому большинство его жертв оказались жителями Греции.

Facebook боролся с Lecpetex с декабря 2013 года; серьёзного прогресса удалось достичь в апреле этого года: скоординированная операция позволила ликвидировать инфраструктуру ботнета, в том числе его контрольные серверы, аккаунты, через которые шло распространения зловредов, аккаунты, которые использовались для тестирования и монетизации. После чего к делу были привлечены греческие полицейские.

Обнаружив, что под ними горит земля, авторы зловредов начали оставлять для сотрудников Facebook сообщения с требованиями типа «прекратите бить меня по морде».

В конце концеов, 3 июля полиция арестовала людей, считающихся основными создателями Lecpetex.

800

Это, как уже сказано, не первый случай, когда Facebook воюет с ботнетом: в конце 2012 года социальная сеть в партнёрстве с ФБР разделалась с ботнетом Butterfly/Mariposa. Он был куда крупнее и куда опаснее, чем Lecpetex: он распространял банковское вредоносное ПО Yahos, заразившее 11 млн компьютеров по всему миру. По некоторым данным, злоумышленникам удалось «намыть» с его помощью 850 млн долларов.

Facebook пришлось принимать меры, поскольку именно её инфраструктуру использовали для распространения зловредов: оказаться вектором для атаки — это и неприятно, и вредно для репутации. Facebook — не поставщик защитных решений, он ей пришлось выступить в таком качестве, поскольку ситуация была слишком опасной, чтобы продолжать её игнорировать.

Сеть Facebook тут не одинока. Microsoft, например, активно, и даже агрессивно бьётся с крупнейшими ботнетами, привлекая к делу отраслевых партнёров и правоохранительные органы. Так корпорации за последние годы удалось уничтожить целый ряд крупных ботнетов — Rustock, Kelihos, Citadel и др.

Опять же, Microsoft — не является компанией, чьё имя ассоциируется с защитным ПО, даже притом, что в начале 2000 годов она выкупила нескольких вендоров решений по безопасности. Однако большинство вредоносного ПО для ПК атаковало именно пользователей Windows. И в определённый момент Microsoft приняла решение устроить «крестовый поход» против ботнетов, хотя и не всегда оказывающийся успешным.

Битва с ботнетами, вообще говоря, старая история: рабочая группа Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG), в которую входят Comcast, Yahoo, AT&T, Verizon и AOL, появилась на свет в 2004 году. Уже тогда стало ясно, что ботнеты — это серьёзная проблема. И предпринимались попытки разработать единые методы противодействия.

В определённый момент любая крупная компания, работающая с большим количеством персональных данных, обнаруживает, что их необходимо защищать. И не только «пассивно». Иногда приходится давать киберпреступникам бой на их же территории — захватывать контрольные серверы, жёсткие диски, выписывать ордеры на арест и так далее.

В конечном счёте, кибербезопасность становится всеобщей заботой — рано или поздно.