Kaspersky Lab, Kyrus Tech si Microsoft au inchis botnet-ul Hlux/Kelihos

Kaspersky Lab, Microsoft şi compania IT Kyrus Tech au colaborat la desfăşurarea operaţiunilor de închidere a reţelei de computere-zombie Kelihos, iniţial numită Hlux de către Kaspersky Lab.

Botnet-ul, compus din aproximativ 40.000 de computere infectate, era folosit de către infractorii cibernetici pentru a trimite miliarde de mesaje spam, a fura informaţii personale, a lansa atacuri DDoS, precum şi pentru alte activităţi ilegale.

Microsoft a iniţiat un proces împotriva a 24 de persoane aflate în spatele acestui botnet, acţiune care a dus la închiderea domeniilor de Internet folosite de serverele de comandă şi control ale reţelei. Iniţiativa Microsoft a fost susţinută prin contribuţii din partea Kaspersky Lab şi o declaraţie directă din partea Kyrus Tech, care oferea informaţii detaliate şi dovezi despre Kelihos.

Kaspersky Lab a jucat un rol important în dezactivarea botnet-ului, colaborând cu Microsoft încă de la începutul anului 2011 şi oferind informaţii în timp real despre activitatea Kelihos. La momentul actual, Kaspersky Lab se asigură că reţeaua nu mai poate fi controlată de nimeni – specialiştii companiei au modificat codul folosit în administrarea acesteia, au spart protocolul de comunicare, au descoperit vulnerabilităţile infrastructurii peer-to-peer şi au dezvoltat instrumentele specifice pentru a o contracara. În momentul în care acţiunea legală a Microsoft a condus la dezactivarea domeniilor de Internet folosite de atacatori, Kaspersky Lab a pătruns în reţea şi a preluat-o sub administrarea sa.

„Kaspersky Lab a avut un rol-cheie în această operaţiune, oferindu-ne informaţii importante şi detaliate, culese pe baza analizei tehnice şi a înţelegerii modului în care operează Kelihos”, spune Richard Boscovich, avocat în cadrul Microsoft Digital Crimes Unit. „Aceste informaţii au contribuit la închiderea cu succes a botnet-ului, dar au servit şi ca probe în instanţă. Le mulţumim pentru susţinere şi pentru dorinţa lor de a lupta pentru un Internet mai sigur”, completează acesta.

„Din 26 septembrie, când Kaspersky Lab a iniţiat operaţiunea de infiltrare în botnet, acesta a fost inoperabil”, afirmă Tillmann Werner, Senior Malware Analyst Kaspersky Lab Germania. „Calculatoarele-zombie comunică acum cu noi, de aceea putem iniţia, de exemplu, activităţi pentru a descoperi numărul de infecţii pentru fiecare ţară. Până acum, Kaspersky Lab a numărat 61.463 de adrese IP infectate şi colaborează cu toţi furnizorii de servicii Internet (ISP) implicaţi, pentru a avertiza administratorii reţelelor cu privire la acestea”, încheie Werner.

Kelihos este un botnet de tip peer-to-peer şi este compus din mai multe straturi – „controllers”, „routers” şi „workers”. „Controllers” sunt computerele presupuse a fi controlate de către infractorii cibernetici. Acestea distribuie comenzi tuturor celorlalte unităţi şi supraveghează structura dinamică a reţelei peer-to-peer. „Routers” sunt maşini infectate, care au adrese IP publice, şi sunt utilizate pentru a trimite spam, a colecta adrese de e-mail, a fura date de autentificare din fluxul reţelei şi multe altele.