Велика риба. Кіберполіції накрила лігво світових спамерів

В Україні знешкоджено бот-мережу з 4000 заражених серверів хостинг-провайдерів. Вона могла бути одним з "знарядь" самого злісного спамера в світі.

Підрозділи української кіберполіції спільно з приватними IT-фірмами знешкодили велику міжнародну мережу по розсилці спаму.

В операції взяли участь IT-компанія Eset і український центр реагування на кіберзагрози CyS Centrum. Про закінчення операції йдеться в повідомленнях цих структур.

Спіймали "великого спрута"

"Протягом тривалого часу на території України функціонував керуючий сервер потужної кіберзагрози. Він забезпечував координацію розсилки спаму за допомогою зламаних серверів багатьох приватних українських і зарубіжних компаній , - йдеться в повідомленні кіберполіції.

В ході спільної операції вдалося знайти і вилучити серце цієї системи - командний сервер управління бот-мережею комп'ютерів, заражених вірусом Mumblehard. Він перебував "в південних регіонах нашої країни". Точні дані не вказані - справа ще не закрита. За інформацією поліції, організатори бот-мережі до сих пір не спіймані. В Україні вдалося затримати тільки людей, які займалися технічним обслуговуванням командної інфраструктури. Ключові фігури угруповання, за даними поліції, живуть в Росії.

Як говориться в повідомленні, в цілому шкідливою програмою Linux / Mumblehard було заражено близько 4000 серверів 63 країнах світу. У тому числі і в Україні (33 сервера). Більшість серверів належали хостинг-провайдерам, обслуговуючим веб-сайти. За даними Eset, спамерське угруповання орудувало мінімум з 2009 року. У повідомленні Eset йдеться, що після закриття українського командного сервера бот-мережи і її вірус більше не подавали ознак життя.

Перший успіх

За словами начальника Департаменту кіберполіції Сергія Демедюк, до останнього часу хакерам вдавалося втекти в ході подібних операцій. Спочатку на окуповані території, а потім в Росію, як тільки вони дізнавалися про початок дії правоохоронців. Але в цей раз втекти не встигли. "Ми врахували всі наші помилки", - підкреслив він.

Шкідливу програму українсько-російських спамерів Eset виявила абсолютно випадково. Адміністратор одного з серверів поскаржився компанії, що потрапив в чорний список за розсилку спаму, яку він нібито не скоював. Виявилося, що його сервер давно заражений, і є учасником всесвітньої бот-мережі. З того часу багато хостинг-провайдерів раз у раз потрапляли в різноманітні чорні списки, так як з їх IP-адрес розсилався спам. Провайдери несли репутаційні та матеріальні втрати.

В проведенні операції, за словами начальника кіберполіції, допомагали українські інтернет-провайдери. Без їх сприяння знешкодити спамерів було б дуже складно. "Не на всі наші запити вони реагують. Але у цій справі відгукнулися майже всі", - підкреслив він. Учасникам операції треба було в оперативному режимі отримувати доступ до їхніх мереж при пошуку пристроїв підозрюваних. На заключних етапах операції до роботи підключилися і німецькі колеги з центру комп'ютерних загроз CERT-Bund.

"В результаті проведеної операції ніхто не постраждав: сервера з дата-центрів не виносилися, надання послуг перервано не було", - повідомляє CyS Centrum. Керівник цієї компанії Микола Коваль каже, що це був один з перших випадків плідної співпраці між іноземною антивірусною компанією, іноземним CERTом, локальним правоохоронним органом, приватною компанією і провайдером телекомунікацій.

Клюють на дешеву Віагру

Більшість спаму, який розсилається через бот-мережу, угруповання Mumblehard направляла на просування фіктивних канадських фармацевтичних сайтів, з'ясувала Eset. Це була реклама таких препаратів як Віагра і Adderall, яка відправлялася на комп'ютери усього світу.

Примітно, що про бот-мережі такої спрямованості відомо досить давно - з 2004 року. Цим видом спаму займалася угруповання під назвою Canadian Pharmacy. Понад п'ять років воно входить в ТОП-10 найбільш злісних відправників незамовлених листів, за версією міжнародної організації Spamhaus. Згідно останніх оновлень, Canadian Pharmacy була спамером №1 в світі. "Вони розсилають десятки мільйонів спам-повідомлень в день через бот-мережу", - йдеться в описі цього угруповання на сайті Spamhaus. За її даними, угруповання найімовірніше перебуває в Східній Європі - Україні чи Росії. Canadian Pharmacy приваблювала інтернет-користувачів за допомогою величезних знижок на дорогі медпрепарати для підвищення чоловічої потенції. Наприклад, пропонувала за 2-3 долари купити 100 мг неіснуючої Віагри - майже в 10 разів дешевше реальної ціни. Але насправді за допомогою розсилки вони хотіли виманити у довірливих користувачів дані кредитних карт.

За описом Canadian Pharmacy сильно нагадує угруповання, яке розсилає вірус Mumblehard. Український командний сервер міг керувати однією з її світових мереж. Таким чином, українській кіберполіції, можливо, вдалося "пощипати" спамера №1.

Eset також допускає у своїх розслідуваннях, що закрита в Україні бот-мережа могла бути каналом збуту компанії Yellsoft. Вона продає софт для розсилки електронних листів DirectMailer і має ті ж самі IP адреси, що і бот-мережа.