Поиск

Белорусский хакер Сергей Ярец, также известный под псевдонимом Ar3s, арестованный в 2017 году за распространение ботнета Andromeda, был выпущен властями Беларуси на свободу. Как сообщили присутствовавшие на судебном заседании журналисты «Радио Свобода», со злоумышленника были сняты все обвинения после того, как Ярец согласился сотрудничать со следователями, и добровольно передал государству всю прибыль, полученную им от аренды ботнета. Заработанная киберпреступником сумма составила около 11 тыс. белорусских рублей (порядка 360 тыс. российских рублей). За незаконную деятельность суд постановил оштрафовать Яреца на 2940 белорусских рублей, однако освободил белоруса от их выплаты, приняв во внимание те 6 месяцев, которые мужчина провел в CИЗО пока велось расследование (статья, по которой судили хакера предусматривает либо штраф, либо условный срок, либо лишение свободы). Изначально мужчине грозил срок до 10 лет лишения свободы. Отмечается, что судья проявил снисхождение к Ярецу после того, как злоумышленник предоставил следователям доказательства собственной вины. Другим фактором, «впечатлившим» судью, была одна из особенностей конфигурации вредоносного ПО Andromeda, не позволявшая программе инфицировать пользователей из Беларуси и других стран СНГ. Белорусская полиция арестовала Яреца в прошлом году в рамках совместной операции ФБР и Европола, в ходе которой удалось обезвредить один из крупнейших ботнетов Andromeda. По словам Яреца, он начал продавать одноименное вредоносное ПО на хакерских форумах по просьбе создателя программы, однако никогда не использовал ее сам. Злоумышленник был арестован после продажи копии исходного кода Andromeda тайному агенту ФБР. Кроме того, в комментариях к статье «Радио Свобода» Ярец оспорил утверждение ФБР и Microsoft о том, что ботнет причинил ущерб в размере $10 млн. «10 миллионов было МОРАЛЬНЫМ ущербом ничем не подтвержденным и подписанный каким-то региональным менеджером», - заявил он.

Трое граждан США Парас Джа, Джозайа Уайт и Дэлтон Нортон признали себя виновными в создании вредоносного ПО Mirai и использовании одноименного ботнета для осуществления DDoS-атак на различные объекты в Сети, сообщатся в пресс-релизе Министерства юстиции США. По информации американских властей, Джа, Уайт и Нортон совместными усилиями разработали вредоносное ПО Mirai, предназначенное для атак на «умные» устройства и сетевое оборудование, работающее под управлением операционных систем на базе Linux. С помощью Telnet сканера вредонос идентифицировал доступные в Сети устройства и использовал комбинацию эксплоитов и учетных данных для заражения устройств и включения их в ботнет. Согласно данным ФБР, в состав ботнета входило более 300 тыс. устройств, в основном видеорегистраторы, IP-камеры и маршрутизаторы. Начало работы над ботнетом датируется августом 2016 года, тогда же исследователи в области безопасности зафиксировали первые признаки активности Mirai. По данным властей, Уайт занимался созданием Telnet сканера, Джа отвечал за ключевую инфраструктуру ботнета и функции удаленного управления вредоносным ПО, а Норман разрабатывал эксплоиты. Троица рекламировала Mirai на подпольных форумах как сервис по проведению DDoS-атак, но, судя по всему, Джа использовал ботнет и в личных целях. Mirai получил известность после атак на блог журналиста Брайана Кребса, французского хостинг-провайдера OVH и крупного DNS-провайдера Dyn. Последняя повлекла за собой сбой в работе крупнейших сайтов, в том числе Twitter, Reddit, PayPal, Pinterest, Soundcloud, Spotify и GitHub. После атаки на Dyn осенью 2016 года Джа, работавший под псевдонимом Anna-senpai, опубликовал в свободном доступе исходный код Mirai, чем не преминули воспользоваться другие вирусописатели, создавшие на его основе различные варианты вредоносного ПО. Самый свежий их них – Satori. Всплеск активности данного ботнета был зафиксирован экспертами в начале декабря нынешнего года. Кроме того, Джа признал себя виновным в проведении в период с ноября 2014 года по сентябрь 2016 года многочисленных кибератак на Рутгерский университет, в котором учился. Обвинения всем троим авторам Mirai были предъявлены в мае 2017 года.

Вирусная лаборатория Eset обнаружила новый образец вредоносной программы Linux/Ebury – основного компонента ботнета Windigo.Исследование подтвердило, что Ebury продолжает активно использоваться атакующими, и инфраструктура, предназначенная для кражи данных, все еще функционирует. В марте 2014 года Eset совместно с экспертной группой CERT-Bund и исследовательским центром SNIC опубликовала отчет об «Операции Windigo». Вредоносная киберкампания продолжалась как минимум с 2011 года. В течение нескольких лет операторы ботнета скомпрометировали более 25 000 Linux и UNIX-серверов, а также устройства на базе ОС Windows, OS X, OpenBSD, FreeBSD и Linux. Среди пострадавших такие организации, как cPanel и Linux Foundation. Основной компонент «Операции Windigo» – OpenSSH-бэкдор и инструмент кражи данных Linux/Ebury, установленный на десятки тысяч серверов. С его помощью атакующие загружали в скомпрометированные системы дополнительные программы для кражи учетных данных, перенаправления трафика на вредоносный контент, заражения пользователей и рассылки спама. В августе 2015 года был арестован Максим Сенах, один из подозреваемых в организации ботнета Windigo. В марте 2017 года он признал вину в нарушении закона о компьютерном мошенничестве и злоупотреблении, в августе – приговорен к 46 месяцам тюремного заключения. Вскоре после ареста Сенаха система телеметрии Eset показала снижение активности одного из компонентов ботнета – вредоносной программы Linux/Cdorked, предназначенной для перенаправления веб-трафика. Как было установлено впоследствии, Сенах получал прибыль от этого вида вредоносной деятельности Windigo. Активность Linux/Cdorked до настоящего времени не возобновлена. Тем не менее, ботнет Windigo продолжает работу. Например, в Eset наблюдали новые версии программы Win32/Glupteba, также связанной с Windigo и отвечающей в составе ботнета за рассылку спама. Наконец, в феврале 2017 года специалисты Eset обнаружили новый образец Ebury (версия 1.6), получивший ряд существенных доработок. Теперь Ebury использует новый алгоритм генерации доменов (DGA) для передачи украденных данных. Авторы малвари предусмотрели методы самомаскировки и новые способы внедрения в процессы, связанные с OpenSSH. Кроме того, операторы Windigo изучают исследования поставщиков решений для безопасности и дорабатывают вредоносные инструменты, чтобы обходить индикаторы заражения и избегать обнаружения.

«Лаборатория Касперского» объявила об обнаружении программы, которая позволяет переносить бот Mirai с зараженного Windows-узла на любое уязвимое «умное» устройство, работающее на Linux. Как рассказали в компании, таким образом ботнет теперь может пополняться не только за счет прямого взлома гаджетов интернета вещей, но и за счет заражения их через традиционные ПК (в случае если «умное» устройство подключено к компьютеру). Ботнет Mirai, ставший самым крупным в истории ботнетом из «умных» устройств и позволивший злоумышленникам в конце 2016 года провести серию масштабных DDoS-атак, может стать еще мощнее и крупнее. Код программы-распространителя гораздо чище и богаче, чем оригинальный исходный код Mirai, но ее функциональность пока довольно ограничена – программа способна переносить бот Mirai с Windows на Linux только в том случае, если пароль к удаленному telnet-соединению в «умном» устройстве возможно угадать методом подбора. Тем не менее очевидно, что код программы-распространителя создан крайне опытным разработчиком. Собранные «Лабораторией Касперского» артефакты – языковые метки в ПО, сборка кода на китайской системе, чьи серверы расположены в Тайване, а также использование украденных у китайских компаний сертификатов подписи – указывают на то, что программа могла быть создана китайскоговорящим разработчиком. По данным «Лаборатории Касперского», только в 2017 году Mirai атаковал по меньшей мере 500 уникальных систем, а с учетом новых возможностей в будущем число жертв этого зловреда может значительно увеличиться. Под удар Mirai в 2017 году попали в основном развивающиеся страны: Россия, Индия, Вьетнам, Китай, Пакистан, Филиппины, Бангладеш, Саудовская Аравия, ОАЭ, Иран, Марокко, Египет, Турция, Тунис, Малави, Молдавия, Румыния, Бразилия, Венесуэла, Колумбия и Перу. «Появление «моста» между Linux и Windows для Mirai действительно вызывает беспокойство, поскольку это говорит о том, что в игру вступили более опытные разработчики. Они воспользовались публикацией исходного кода Mirai, и теперь их отточенные навыки и техники могут вывести угрозу на новый уровень.Windows-ботнет, распространяющий боты Mirai для «умных» устройств, открывает для зловреда новые девайсы и сети, которые ранее были недоступны. И это только начало», – отметил Курт Баумгартнер, ведущий антивирусный эксперт «Лаборатории Касперского». В настоящее время «Лаборатория Касперского» тесно взаимодействует с CERT-командами, хостинг-провайдерами и сетевыми операторами по всему миру, чтобы помочь интернет-инфраструктуре справиться с растущей угрозой и нейтрализовать как можно больше командно-контрольных серверов, которые злоумышленники используют для атак с помощью Mirai. Защитные решения компании распознают и блокируют боты Mirai на Windows.