Microsoft: ботнет Rustok создан в России
мая 26, 2011
Эксперты Microsoft обнаружили более 400 000 адресов на одном жестком диске, изъятом во время операции по уничтожению ботнета Rustock в марте, согласно судебным документам. Microsoft в общих чертах изложила результаты исследования жестких дисков, принадлежащих командным и контролирующим серверам ботнета в отчете о проделанной работе, предоставленном в федеральный окружной суд 23 мая. Исследователи Microsoft изучали и анализировали аппаратные средства, изъятые американскими правоохранительными органами во время рейда 17 марта, сообщило 24 мая ИТ-издание Network World.Следователи обнаружили "дополнительные доказательства" того, что изъятые серверы являлись частью "распространяющего спам" ботнета, сообщила Microsoft американскому окружному судье Джеймсу Робарту. Жесткие диски содержали кастомизированное ПО, которое включало спам-сообщения и текстовые файлы с тысячами email-адресов и соответствующих паролей. Microsoft также обнаружила доказательства того, что преступники использовали украденные номера кредитных карт для приобретения хостинга и почтовых сервисов.
"Только один текстовый файл содержал более 427 000 e-mail адресов", - написала Microsoft.
Microsoft нашла зацепку, которая дает возможность предположить, что владельцы Rustock являются выходцами из России. Платежи за некоторые хостинговые сервисы были сделаны с особого аккаунта Webmoney. Система Webmoney помогла Microsoft пройти по следу к аккаунту Владимира Шергина из города Химки, расположенного к северо-западу от Москвы. Однако Microsoft признала в отчете, что в действительности и кто-то другой мог купить хостинговые сервисы.
"Microsoft продолжает расследование чтобы определить, являются ли имя и контактная информация подлинными или заимствованными и связан ли данный человек со всеми этими операциями", - сообщила компания.
Отследить происхождение ботнета было очень непростой задачей, поскольку 18 из 20 дисков, изъятых во время рейда, были использованы в качестве Tor узлов для обеспечения анонимности интернет-трафика.
Ботнет Rustock, по оценкам, включал около миллиона взломанных компьютеров и обладал возможностью рассылать ежедневно около 30 миллиардов спамовых сообщений. Microsoft получила запретительный судебный приказ от окружного суда, дающий маршалам и другим правоохранительным организациям право на изъятие C&C серверов, размещенных в семи американских городах.
Однако уничтожение ботнета в марте не оказало продолжительного влияния на всемирный уровень спама. Уровень спама снизился на 2-3% в течение непродолжительного времени после падения ботнета, но затем вернулся к прежним показателям, сообщила компания Kaspersky Lab в своем ежеквартальном отчете о спаме.
В первом квартале 2011 года спам составлял немного менее 80% от всего объема почтовой переписки, что на 1.4 % больше, чем в последнем квартале 2010 года, но на 6.5 % меньше, чем в первом квартале 2010 года. В своем апрельском (ежемесячном) отчете об уровне спама, компания Kaspersky Lab сообщила, что количество спама увеличилось на 1.2 % по сравнению с мартом, и составило в среднем 80.8 % от всего объема e-mail.
"Закрытие командных центров ботнета Rustock 16 марта 2011 года не оказало столь значительного влияния на спам-трафик, как закрытие Pushdo, Cutwail Bredolab в прошлом году", - сообщили исследователи Kaspersky в своем квартальном отчете.