Крупная рыба. Киберполиция накрыла логово мировых спамеров
Подразделения украинской киберполиции совместно с частными IT-фирмами обезвредила крупную международную сеть по рассылке спама.
В операции приняли участие IT-компания Eset и украинский центр реагирования на киберугрозы CyS Centrum. Об окончании операции говорится в сообщениях этих структур.
Поймали "большого спрута"
"В течение длительного времени на территории Украины функционировал управляющий сервер мощной киберугрозы. Он обеспечивал координацию рассылки спама с помощью взломанных серверов многих частных украинских и зарубежных компаний", - говорится в сообщении киберполиции.
В ходе совместной операции удалось найти и изъять сердце этой системы - командный сервер управления бот-сетью компьютеров, зараженных вирусом Mumblehard. Он находился "в южных регионах нашей страны". Точные данные не указаны - дело еще не закрыто. По информации полиции, организаторы бот-сети до сих пор не пойманы. В Украине удалось задержать только людей, которые занимались техобслуживанием командной инфраструктуры. Ключевые фигуры группировки, по данным полиции, живут в России.
Читайте также: Плюсы и минусы первой стратегии киберзащиты Украины
Как говорится в сообщении, в общей сложности вредоносной программой Linux/Mumblehard было заражено около 4000 серверов 63 странах мира. В том числе и в Украине (33 сервера). Большинство серверов принадлежали хостинг-провайдерам, обслуживающим веб-сайты. По данным Eset, спамерская группировка орудовала минимум с 2009 года. В сообщении Eset говорится, что после закрытия украинского командного сервера бот-сеть и ее вирус больше не подавала признаков жизни.
Первый успех
По словам начальника Департамента киберполиции Сергея Демедюка, до последнего времени хакерам удавалось улизнуть в ходе подобных операций. Сначала на оккупированные территории, а потом в Россию, как только они узнавали о начале действиях правоохранителей. Но в этот раз сбежать не успели. "Мы учли все наши ошибки", - подчеркнул он.
Вредоносную программу украино-российских спамеров Eset обнаружила совершенно случайно. Администратор одного из серверов пожаловался компании, что попал в черный список за рассылку спама, которую он якобы не совершал. Оказалось, что его сервер давно заражен, и является участником всемирной бот-сети. С того времени многие хостинг-провайдеры то и дело попадали в разнообразные черные списки, так как с их IP-адресов рассылался спам. Провайдеры несли репутационные и материальные потери.
При проведении операции, по словам начальника киберполиции, помогали украинские интернет-провайдеры. Без их содействия обезвредить спамеров было бы очень сложно. "Не на все наши запросы они реагируют. Но по этому делу откликнулись почти все", - подчеркнул он. Участникам операции надо было в оперативном режиме получать доступ к их сетям при поиске устройств подозреваемых. На заключительных этапах операции к работе подключились и немецкие коллеги из центра компьютерных угроз CERT-Bund.
Читайте также: Российские хакеры оставили без света Прикарпатье. Кто следующий?
"В результате проведенной операции никто не пострадал: сервера из дата-центров не выносились, предоставление услуг прервано не было", - сообщает CyS Centrum. Руководитель этой компании Николай Коваль говорит, что это был один из первых случаев плодотворного сотрудничества между иностранной антивирусной компанией, иностранным CERTом, локальным правоохранительным органом, частной компанией и провайдером телекоммуникаций.
Клюют на дешевую Виагру
Большинство рассылаемого через бот-сеть спама группировка Mumblehard направляла на продвижение фиктивных канадских фармацевтических сайтов, выяснила Eset. Это была реклама таких препаратов как Виагра и Adderall, которая отправлялась на компьютеры всего мира.
Примечательно, что о бот-сети такой направленности известно довольно давно - с 2004 года. Этим видом спама занималась группировка под названием Canadian Pharmacy. Более пяти лет она входит в ТОП-10 самых злостных отправителей не заказанных писем, по версии международной организации Spamhaus. Согласно последним обновлениям, Canadian Pharmacy была спамером №1 в мире. "Они рассылают десятки миллионов спам-сообщений в день через бот-сеть", - говорится в описании этой группировки на сайте Spamhaus. По ее данным, группировка вероятнее всего находится в Восточной Европе - Украине или России. Canadian Pharmacy завлекала интернет-пользователей с помощью огромных скидок на дорогостоящие медпрепараты для повышения мужской потенции. Например, предлагала за 2-3 доллара купить 100 мг несуществующей Виагры - почти в 10 раз дешевле реальной цены. Но на самом деле при помощи рассылки они хотели выманить у доверчивых пользователей данные кредитных карт.
По описанию Canadian Pharmacy сильно напоминает группировку, рассылающую вирус Mumblehard. Украинский командный сервер мог управлять одной из ее мировых сетей. Таким образом, украинской киберполиции, возможно, удалось "пощипать" спамера №1.
Eset также допускает в своих расследованиях, что закрытая в Украине бот-сеть могла быть каналом сбыта компании Yellsoft. Она продает софт для рассылки электронных писем DirectMailer и имеет те же самые IP адреса, что и бот-сеть.