Microsoft атаковала киберпреступников

Крупнейшая IT-компания мира Microsoft взяла в свои руки борьбу с киберпреступниками. Директор корпорации по программам обеспечения интернет–безопасности Тим Крэнтон отчитался о проведении «операции b49»,

Крупнейшая IT-компания мира Microsoft взяла в свои руки борьбу с киберпреступниками. Директор корпорации по программам обеспечения интернет–безопасности Тим Крэнтон отчитался о проведении «операции b49», цель которой — обезглавить армию из сотен тысяч зараженных компьютеров под названием Waledac.

Киберпреступники управляют зараженными вирусами компьютерами (их еще называют роботами, или, для краткости, ботами), рассылая сообщения через центральные узлы. От них ботнеты (сети роботов) получают команды — кому какой спам рассылать и на какой сайт отправить фальшивый запрос, чтобы забить каналы связи с этим сайтом. По оценке Microsoft, Waledac — один из десяти крупнейших ботнетов на территории США и одна из основных сетей рассылки спама во всем мире.

Юристы Microsoft недавно подали иск против вдалельцев сайтов, через которые управляется ботнет Waledac. Судья окружного суда Восточной Виргинии принял 22 февраля решение, в котором дал Microsoft право закрыть 277 сайтов, названия которых не называют в интересах кампании по борьбе с ботнетом. Чтобы Microsoft имел возможность быстро отключать сайты злоумышленников, судья обязал сотрудничать с ним компанию Verisign (ведет реестр сайтов в доменной зоне.com) и некоторых регистраторов китайских и американских сайтов.

В результате операции работу сети Waledac полностью прекратили, радуется Крэнтон. Он считает это серьезным достижением: ботнет рассылал ежедневно 1,5 млрд спам-сообщений. В декабре 2009 года через Waledac киберпреступники разослали за три недели около 651 млн спам-писем на почтовые ящики бесплатной почтовой службы Hotmail.com, которой владеет Microsoft. В официальном блоге Microsoft Крэнтон пишет, что b49 — первая операция такого рода. И обещает, что не последняя.

Между тем эксперты скептически отнеслись к достижениям Microsoft. «В тактическом плане это победа, — соглашается руководитель лаборатории контентной фильтрации «Лаборатории Касперского» Андрей Никишин, — выиграно сражение, но не война». Он напомнил Forbes, что раньше уже закрывали крупные ботнеты, и спамерам обычно требуется от трех недель до трех месяцев, чтобы восстановить прежний поток незаконных рекламных сообщений.

Вирусописатели могут сделать архитектуру управления ботнетом менее централизованной, предупреждает Александр Лямин, ведущий специалист Центра телекоммуникаций и информационных технологий (ЦТиИТ) МГУ. Например, говорит эксперт, они могут использовать сеть Tor с так называемым onion routing («луковичный роутинг») — данные в зашифрованном виде проходят через несколько внутренних серверов, маршрут между которыми определяется случайным образом, а потом выходят за пределы сети через выходной сервер. В этом случае отсутствует центральный сервер, управляющий атакой, и поэтому непонятно, что отключать.