Порочный круг
Исследование, проведенное RSA в связи с попытками изоляции интернет-провайдера Troyak, показало, что он является одним из элементов криминальной инфраструктуры, обеспечивающей «пуленепробиваемый» хостинг владельцам ботнетов ZeuS.
По свидетельству RSA, восточноевропейские цитадели ZeuS, которые пытается повергнуть интернет-сообщество, размещены на Украине, в России, Молдове и Казахстане. Помимо C&C ботнетов упомянутого зловреда, в одиозных сетях хостятся управляющие серверы троянца Gozi, репозитории фишинговой группировки RockPhish, а также продвигаемые в спаме страницы
с эксплойтами, псевдоантивирусами, Backdoor.Win32.Sinowal и зазывной рекламой работодателей, вербующих агентов по отмыванию денег.
В результате двухнедельного противостояния в Рунете 10 хостинг-провайдеров, обслуживавших грозного олимпийца, лишились связи с интернетом, а с ними и половина действующих центров управления ZeuS.
После того, как несколько телеоператоров заблокировали доступ Troyak к Сети, его клиенты занялись поисками других каналов, открывая исследователям карту за картой. Как оказалось, бесперебойную работу центра управления ботнетом обеспечивает разветвленная система маршрутизации трафика. Хостинг-провайдеры, давшие приют командным серверам ZeuS, осуществляют выход в интернет через ряд маскировочных сервисов, подобных Troyak. Эти транзитные сети взаимосвязаны, и каждая из них пользуется услугами нескольких легальных интернет-провайдеров. Таким образом, при сбое одного или нескольких элементов инфраструктуры у владельца «бронированного» хостинга всегда есть под рукой альтернативный канал.
Дата публикации: 25, Марта 2010 г.
Источник: Лаборатория Касперского
