Читать «Цифровой журнал «Компьютерра» № 63» онлайн - страница 4
Коллектив авторов
Интересная деталь: весной 2010 года Rustock начал рассылать спам с TLS-шифрованием. Причём в огромных количествах — до 70 процентов его рассылок были под TLS, и, поскольку это был самый активный ботнет на тот период, до 35 процентов спамерских сообщений во всей мировой паутине оказались зашифрованными. Зачем? «Возможно, владельцы Rustock ошибочно полагают, что TLS добавит легитимности их почтовому трафику, но, возможно, они просто опасаются, что за их спамом кто-то следит», — предположили тогда в Symantec.
Как выяснилось, и вправду следили...
Попытки что-то сделать с этим ботнетом предпринимались довольно долго. 11 ноября 2008 года был закрыт располагавшийся в Сан-Хосе хостинг-провайдер McColo. За этим немедленно последовало резкое падение мировых объёмов спама.
Дело в том, что McColo предоставлял услуги так называемого «пуленепробиваемого хостинга»: компания не задавала своим клиентам ненужных вопросов и не реагировала на жалобы. На McColo собралась живописнейшая компания: спамеры, распространители детской порнографии, фишеры и прочих «мерзавцев сотни три». Среди клиентов McColo всплыла даже Russian Business Network — полумифическая питерская фирма, которая также занималась криминальным бизнесом в киберпространстве, включая «пуленепробиваемый хостинг» со всяким «интересным» контентом. И, самое главное, на серверах McColo располагались контрольные центры ботнетов Mega-D, Srizbi, Pushdo, Warezov и нашего дорогого Rustock.
19 ноября 2008 года McColo, воспользовавшись соглашением о резервном копировании со шведским провайдером TeliaSonera, ненадолго вернулся в онлайн, но его тут же снова закрыли. Впрочем, судя по всему, этого времени хватило, чтобы перевести контрольные серверы ботнетов с тонущего хостера куда-то ещё.
Спустя несколько недель объёмы спама вернулись к прежним значениям.
В середине марта 2011 года, к вящему недоумению борцов с сетевыми напастями, ботнет Rustock заглох намертво. Его активность уже снижалась в рождественско-новогодний период, но затем он снова воспрял. Возникла масса пересудов на тему возможного возвращения ботнета в строй.
18 марта отдел по борьбе с киберпреступностью Microsoft объявил, что он совместно с правоохранительными органами США провёл операцию под кодовым названием b107, в результате которой ботнет Rustock был обезглавлен.
Операция против Rustock проводилась по той же схеме, что и более ранняя (и успешная) атака на ботнет Waledac. Первый этап был сугубо юридическим: владельцев ботнета Rustock обвинили в нарушении лицензионного соглашения Windows, поскольку Rustock делает возможным удалённый доступ к ОС Windows на заражённом компьютере, что категорически запрещено лицензией. Это ещё не всё: поступило обвинение и в нарушениях торговой марки (изрядная часть спама шла через Hotmail), и нарушении американского закона CAN-SPAM.
