Екатеринбург, 10 марта 2010 г.

Компании Panda Security и Defence Intelligence, производители решений IT- безопасности, сообщают, что бот-сеть «Mariposa» была ликвидирована. Испанские правоохранительные органы задержали троих подозреваемых, которые предположительно управляли данной сетью.

С помощью «Mariposa» мошенники осуществляли кражу регистрационных данных пользователей социальных сетей, онлайновых почтовых сервисов, а также банковские реквизиты и реквизиты кредитных карт. Преступникам удалось украсть 12,7 миллионов персональных, корпоративных, правительственных и образовательных IP-адресов более чем в 190 странах мира. От этой бот-сети пострадали до 50% компаний, входящих в список Fortune 1000 (это список тысячи самых крупных компаний США по версии журнала Fortune). По предварительным оценкам нанесенный ущерб исчисляется миллионами долларов.

Бот-сеть «Mariposa» была ликвидирована 23 декабря 2009 года благодаря совместным усилиям различных экспертов в области безопасности и права из Panda Security, Defence Intelligence, ФБР и испанских правоохранительных органов (Guardia Civil).

Сеть Mariposa стала одной из самых крупных зарегистрированных бот-сетей. Первым её обнаружил Кристофер Дэвис, исполнительный директор Defence Intelligence. Он отмечает: «Было бы проще составить список компаний из Fortune 1000, которые не подверглись заражению, чем тех, чья информация была украдена».

Сразу после обнаружения «Mariposa» в мае 2009 года создали рабочую группу Mariposa. Ее возглавили Panda Security, Defence Intelligence и Georgia Tech Information Security Center. Эти компании начали сотрудничать с другими международными экспертами в области безопасности и права, чтобы уничтожить бот-сеть и наказать её организаторов. В итоге главный бот-мастер по прозвищу «Netkairo» или «hamlet1917», а также его ближайшие партнеры-операторы бот-сети «Ostiator» и «Johnyloleante» были арестованы.

«Вновь, благодаря совместным усилиям различных международных и национальных правоохранительных органов и индустрии интернет-безопасности, мы смогли устранить глобальную кибер-угрозу», - сказал Хуан Салом, командир подразделения по борьбе с кибер-преступлениями в составе испанской полиции (Guardia Civil).

По словам представителя CDmon, интернет-провайдера, в сети которого были размещены домены преступников: «Мы очень гордимся тем, что смогли принять участие в этой международной операции и помочь в отключении бот-сети. Проведенная совместная работа – это большая победа в борьбе с кибер-преступниками».

Педро Бустаманте, старший научный консультант Panda Security, отметил: «Мы чрезвычайно гордимся результатами деятельности рабочей группы Mariposa и той скоростью, с которой мы смогли раскрыть массивную бот-сеть и обезвредить ее руководителей. Однако наш предварительный анализ показал, что эти бот-мастеры не являются такими уж продвинутыми хакерами. И это особенно тревожный знак. Это доказывает, что современное ПО для распространения вредоносных кодов стало очень изощренным и эффективным. Сегодня даже неопытные кибер-преступники могут наносить пользователям серьезный вред».

В прошлом году рабочая группа Mariposa проникла в оперативную структуру управления сети «Mariposa». Членам рабочей группы удалось проследить коммуникационные каналы, которыми пользовались подозреваемые бот-мастера. (По этим каналам транслируется информация, получаемая от зараженных компьютеров). Выяснилось, что преступники воспользовались теми же каналами, что и руководители бот-сетей Zeus, Conficker и Koobface и даже Google/Aurora. 23 декабря 2009 года рабочая группа ликвидировала бот-сеть Mariposa.

Сейчас Panda Security возглавляет группу всестороннего анализа вредоносных кодов, а также является координатором международного сообщества антивирусных компаний. Это сообщество было создано для того, чтобы гарантировать постоянное обновление сигнатур всех вендоров.

Предварительный анализ деятельности бот-сети Mariposa, проведенный Panda Security, показал:
1) Бот-мастер Mariposa устанавливал на ПК пользователей различные вредоносные коды (продвинутые кейлоггеры, банковские трояны наподобие Zeus, трояны удаленного доступа и др.). Благодаря этому мошенник мог контролировать компьютеры-зомби.
2) Чтобы зарабатывать деньги бот-мастер продавал части бот-сети, устанавливая панели типа pay-per-install (заплати-за-установку). Также преступник продавал украденные конфиденциальные данные для доступа к онлайновым сервисам, а с помощью чужих банковских данных и реквизитов банковских карт оплачивал покупки на различных сайтах.
3) Бот-сеть Mariposa особенно эффективно распространялась в сетях P2P, через USB-приводы и ссылки MSN.

Дэйв Дэйгон из Georgia Tech Information Security Center считает, что: «Вместо того чтобы составлять диаграммы, нам следует относиться к бот-сетям как к преступлению, а не как к объекту для изучения».

Рабочая группа Mariposa официально получила контроль над коммуникационными каналами, которыми пользовалась сеть «Mariposa», за счет чего отрезала бот-сеть от её создателей-преступников. Вскоре после отключения бот-сети в декабре в отместку началась DDoS-атака против Defence Intelligence. Она была настолько мощной, что оказала чрезвычайно негативное воздействие на работу крупного провайдера интернет-сервисов. Многие клиенты на несколько часов лишились доступа в Интернет.


«Мы продолжим бороться с бот-сетями и стоящими за ними преступниками. - говорит Дэвис. – Мы начнем с демонтирования их инфраструктуры и не остановимся до тех пор, пока мошенники не предстанут перед судом».

Panda Security и Defence Intelligence пытаются установить контакт с пострадавшими организациями. Чтобы выяснить, не стала ли Ваша организация жертвой преступников, обращайтесь по адресам mailto:compromise@defintel.com или mailto:info@pandasecurity.com. 

О Defence Intelligence

Defence Intelligence – это частная компания, работающая в сфере информационной безопасности и специализирующаяся на защите от утечки конфиденциальной информации. Компания находится в Оттаве (Канада), её основатели признаны общемировыми экспертами. Они возглавляют группу информационной безопасности компаний, входящих в Fortune 50, консультируют сотни частных предприятий и государственных органов, а также участвуют в захвате и судебном преследовании международных компьютерных преступников.

Для получения более подробной информации: http://www.defintel.com/.

О Guardia Civil

Guardia Civil является одним из двух национальных правоохранительных органов в Испании. Guardia Civil обеспечивает общественную безопасность, осуществляет административный контроль. Также контролирует работу Центрального оперативного подразделения, филиала Судебной полиции, которая отвечает за борьбу с организованной преступностью.
Для получения более подробной информации: http://www.guardiacivil.org/index.jsp

О Panda Security

Компания Panda Security основана в 1990 году и является ведущим мировым провайдером «облачных» решений безопасности. Продукты компании доступны на 23 языках, а количество пользователей по всему миру исчисляется миллионами. Компания Panda Security первой среди компаний сферы IT-безопасности начала использовать все преимущества обработки данных «в облаке» в рамках своей технологии Коллективного разума. Данная инновационная модель безопасности способна автоматически в ежедневном режиме анализировать и классифицировать тысячи новейших экземпляров вредоносного ПО, обеспечивая корпоративным клиентам и домашним пользователям наиболее эффективную защиту от Интернет-угроз при минимальном воздействии на производительность ПК. Компания Panda Security имеет 56 офисов в мире со штаб-квартирами в Калифорнии и в Испании.
В рамках социальной инициативы Panda Security является спонсором Специальных Олимпийских игр (Special Olympics), Всемирного фонда дикой природы (WWF) и Фонда «Инвестиции для детей» (Invest for Children).
Для получения более подробной информации: http://www.viruslab.ru/