Испанские правозащитники арестовали 3-х человек, подозреваемых в создании ботнет-сети, состоящей без малого из 13 млн ПК. Хакеры использовали свою зомбо-сеть с целью кражи информации о кредитных карточках и паролей к системам online-банкинг.
Злоумышленники начали создавать свою сеть еще в декабре 2008-го, и лишь в мае 2009-го специалисты канадской компании Defence Intelligence обратили на них свое внимание. Они выяснили, что хакеры используют тулкит Butterfly, ранее распространявшийся через bfsecurity.net.
Этот тулкит предназначен для скрытой работы на WINNT-компьютерах. Вредоносное ПО
распространяется 3-мя способами: через линки в online-мессенджерах, через USB-носители и через пиринговые сети, к примеру, через такие, как «ares, bearshare, imesh, shareaza, kazaa, dcplusplus, emule, emuleplus, limewire».
Есть также информация, что изначально вредонос распространялся через некую уязвимость в браузере MS Internet Explorer, передает webplanet.ru.
С помощью инструментария можно обновить вирусное ПО, загрузить новые модули, поэтому хакеры могут использовать его в любых зловредных целях. К примеру, в этот раз на ПК жертв устанавливалось ПО с целью воровства паролей в веб-браузерах MS Internet Explorer и Mozilla Firefox, в том числе для сбора email-адресов.
В прошлогоднем ноябре некоторые зомбо-компьютеры вошли в состав DDoS-бота BlackEnergy, через день с этих ПК была проведена масштабная атака на 3 религиозно-политических веб-ресерса в Саудовской Аравии. Возможно, хакеры сдали ПК в аренду для проведения атаки агрессивно-настроенным гражданам.
Специалисты компании Defence Intelligence назвали этот ботнет кодовым именем Mariposa, на испанском языке это означает Butterfly («бабочка»). Некоторые административные сервера ботнета располагалась на территории Испании. Скорее всего, Mariposa — не просто большой ботнет, а построена из нескольких серверов при помощи одного тулкита. По состоянию на февраль 2010 г. киберзащитники насчитали более 1000 вариантов вредоносного кода, который распространялся с этих серверов.
Специалисты Symantec занимались изучением Mariposa независимо от других, заметили, что в сети начал активно распространяться червь, получивший название Pilleuz.
Зараженных ПК больше всего насчитывается на территории Индии, Мексики и США. Деятельность ПК, входящих в сеть Mariposa, замечена в 190 государствах и в половине компаний из списка «Fortune 1000» и в 40 с лишним крупнейших мировых банках.
Чтобы противостоять ботнету компания Defence Intelligence скооперировалась с испанскими специалистами из компании Panda Software и Центром информационной безопасности штата Джорджия. Согласно февральского отчета, все 30 административных серверов Mariposa были отключены ещё 23-го декабря 2009 года, но сообщение руководителя PandaLabs Луиса Корронса (Luis Corrons) пролило больше света на ситуацию. Оказывается, в тот день Mariposa не завалили, а перехватили контроль над ней. Во время борьбы за обладание ботнетом один из хакеров неумышленно «засветил» данные своего ПК.
После этого правозащитники Испании задержали 3 молодых людей в возрасте 25-ти, 30-ти и 31-го года, которые занимались управлением «Бабочки». Их имена пока неизвестны, как и количество денег, которые они украли с банковских счетов владельцев заражённых ПК. Каждому мошеннику светит до 6-ти лет тюрьмы. На взгляд специалистов, все задержанные люди не производят впечатления «отменных» хакеров, что, впрочем, и неудивительно, видимо они просто пользовались чужим ПО.
Пока все довольно туманно относительно вопроса, что стало с зомбосетью после закрытия административных серверов, пресса говорит о том, что ботнет вырублен, однако согласно статистике Symantec по червю Pilleuz показывает, что он сохраняет свою активность и сегодня.
По словам бывшего главы подразделения по компьютерным преступлениям Минюста США, Марка Раша (Mark Rasch), за ботнет-сетью «Бабочка» стоит больше народу, чем эти трое задержанных, и, видимо, сеть вскоре оживет.
