Kaspersky Lab un CrowdStrike padara nekaitīgu otro robottīklu Hlux/Kelihos

Kaspersky Lab kopīgi ar CrowdStrike Intelligence Team, Honeynet Project un Dell SecureWorks paziņo, ka veikta otrā robottīkla Hlux (kas pazīstams arī ar nosaukumu Kelihos) atvienošanas operācija. Sešu dienu laikā eksperti padarīja nekaitīgu robottīklu, kurā bija iekļauti vairāk nekā 116 tūkstoši inficētu datoru.

Kaspersky Lab jau otro reizi cīnās ar robottīkla Hlux/Kelihos modifikāciju. 2011. gada septembrī Kaspersky Lab sadarbībā ar uzņēmuma Microsoft Kibernoziedzības apkarošanas nodaļu un uzņēmumiem Surf Net un Kyrus Tech, Inc sekmīgi atvienoja pirmo robottīklu Hlux/Kelihos, kurā ietilpa aptuveni 40 tūkstoši resursdatoru. Toreiz Kaspersky Lab veica sateknes maršrutētāja ieviešanas operāciju, kuras rezultātā robottīkls un tā rezerves infrastruktūra tika atvienota no komandservera.

Lai gan pirmais robottīkls tika neitralizēts un izveidota kontrole pār to, Kaspersky Lab eksperti atklāja otra aktīva robottīkla Hlux/Kelihos darbības pēdas. Tam uzrakstītajā kaitīgajā programmatūrā bija izmantos tas pats kods, kas pirmajam Hlux/Kelihos, tomēr jaunajam robottīklam bez tradicionālajām surogātpasta izsūtīšanas un DDoS uzbrukumu veikšanas piemita vairākas papildu funkcijas.

Sākot no 2012. gada 19. marta, Kaspersky Lab un CrowdStrike Intelligence, Honeynet Project un Dell SecureWorks komanda sešas dienas veica sateknes maršrutētāja ieviešanas operāciju, kuras gaitā robottīkls tika sekmīgi neitralizēts. Atšķirībā no tradicionālajiem robottīkliem, kuros tīkla pārvaldībai tiek izmantots viens komandserveris (C&C), Hlux/Kelihos ir vienādranga arhitektūra, kas nozīmē, ka ikviens dators var darboties gan kā serveris, gan kā klients. Lai neitralizētu šādu shēmu, drošības ekspertu grupa izveidoja globāli dalīto tīklu, kas sastāvēja no robottīkla infrastruktūrā iekļautiem datoriem. Drīzumā šis tīkls bija kļuvis tik plašs, ka Kaspersky Lab spēja neitralizēt botu darbību, novēršot iespēju tiem saņemt kaitīgās komandas.

Tā kā lielākā daļa robottīklā ietilpstošo datoru ir savienota ar maršrutētāju, Kaspersky Lab ekspertiem ir iespēja izsekot inficēto datoru skaitam un ģeogrāfiskajam izvietojumam. Pašlaik runa ir par 116 tūkstošiem inficētu sistēmu. Lielākā daļa IP adrešu atrodas Polijā un ASV.

Pilnīga veiktās operācijas analīze atrodama emuāros, kas publicēti [url=http://www.securelist.com]www.securelist.com[/url]. 
Kaspersky Lab pateicas CrowdStrike Intelligence Team, Honeynet Project un Dell SecureWorks par sadarbību operācijas gaitā.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp

Atbildēt

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *