Kelihos bot mreža ponovo ugašena, stručnjaci predviđaju da će se pojaviti nova

Vesti, 29.03.2012, 09:23 AM

Kelihos bot mreža ponovo ugašena, stručnjaci predviđaju da će se pojaviti nova

Po drugi put za šest meseci, stručnjaci proizvođača antivirusnog softvera kompanije Kaspersky Lab, predvodili su operaciju stavljanja pod kontrolu nove verzije Kelihos bot mreže, poznate i pod nazivom Hlux.

Prvo gašenje Kelihos bot mreže dogodilo se prošle godine u septembru, u čemu su pored Kaspersky Laboratorije učestvovali i Microsoft-ova Jedinica za digitalni kriminal, SurfNET i Kyrus Tech, Inc.

Bot mreža Kelihos ponovo se pojavila u januaru ove godine a ovog puta za njeno gašenje zaslužne su kompanije Kaspersky Lab, Dell Secure Works i Crowd Strike Inc.

Kelihos bot mreža se koristi za slanje spama, izvođenje DDoS napada i krađu virtuelnog novca kao što je bitcoin. Ona funkcioniše kao P2P (“peer-to-peer”) bot mreža, što otežava istraživačima njeno stavljanje pod kontrolu. Zbog toga je njeno gašenje znatno komplikovanije od gašenja bot mreže koja ima centralizovane komandne i kontrolne servere (C&C serveri).

Peer-to-peer bot mreže su decentralizovane, samoorganizovane i imaju više komandnih i kontrolnih servera koji se maskiraju u peer-ove. U slučaju Kelihos bot mreže, postojala su tri C&C servera i svaki je imao dve jedinstvene IP adrese.

Iz Kaspersky Laboratorije kažu da će preuzeti kontrolu nad C&C serverima bot mreže kako bi sprečili da i dalje distibuira bilo kakav zlonamerni sadržaj. S obzirom da privatne kompanije nemaju pravo da uklone infekciju sa zaraženih računara, Kaspersky će kontaktirati internet servis provajdere (ISP) čiji su korisnici zaraženi u nadi da će oni preduzeti nešto u vezi sa tim.

Uprkos uspešno obavjenom poslu, ponovno pojavljivanje Kelihos bot mreže samo nekoliko meseci pošto je slična bot mreža ugašena ukazuje na to koliko su komplikovani i neizvesni pokušaji da se stane na put globalnim mrežama zaraženih računara. Procene stručnjaka koji su učestovali u ovoj akciji su da treba očekivati da se Kelihos još jednom pojavi.

Stručnjaci veruju da se brzo pojavljivanje nove Kelihos bot mreže može objasniti plaćanjem po instalaciji (“pay-per-install”, PPI), što znači da su operateri bot mreže kupovali ili rentirali zaražene računare kako bi izgradili novu bot mrežu. Ova pretpostavka se temelji na činjenici da se većina zaraženih računara koji ulaze u sastav bot mreže nalazi u Poljskoj i da većina zaraženih računara ima instaliran operativni sistem Windows XP. To je prema mišljenju stručnjaka relevatno objašnjenje, s obzirom da većina PPI servisa manje naplaćuje za računare u Polskoj ali i za računare sa Windows XP.

Istraživači kažu da je ovo peta verzija Kelihos malvera i da oni koji su odgovorni za Kelihos mogu biti isti oni koji su autori porodica malvera Storm i Waledac.

Zanimlljivo je da grupa koja stoji iza Kelihos bot mreže ni ovoga puta nije pokušala da spreči ili umanji efekte gašenja mreže, što sugeriše da oni koji su odgovorni za bot mrežu ne smatraju ovakve akcije ozbiljnom pretnjom za svoj biznis.

Sinkholing (sinkhole) tehnika koja podrazumeva stavljanje bot mreže pod kontrolu istraživača kao što je to ovde slučaj je od pomoći samo ako je očekivani efekat ometanje i odlaganje aktivnosti kriminalnih grupa koje profitiraju od ovakvih mreža. Ali jedini pravi put u borbi protiv bot mreža je hapšenje i procesuiranje odgovornih za stvaranje bot mreže i grupa koje rukovode njima, zaključak je stručnjaka.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Microsoft opet nije ispravio bezbednosni propust u Windowsu na vreme, Google objavio detalje o bagu

Microsoft opet nije ispravio bezbednosni propust u Windowsu na vreme, Google objavio detalje o bagu

Microsoft se ponovo našao u neprijatnoj situaciji zbog toga što nije stigao da ispravi bezbednosni propust na vreme. Po drugi put za poslednja tri m... Dalje

Yahoo ponovo obaveštava korisnike o kompromitovanju naloga

Yahoo ponovo obaveštava korisnike o kompromitovanju naloga

Yahoo je ponovo počeo da obaveštava korisnike da postoji mogućnost da su hakeri pristupali njihovim nalozima. Veruje se da su hakeri umesto lozinki... Dalje

Microsoft odložio februarska ažuriranja za 14. mart

Microsoft odložio februarska ažuriranja za 14. mart

Microsoft je u utorak odložio februarsko izdanje zakrpa za svoje proizvode na neodređeno vreme, da bi juče kompanije objavila da će februarske zak... Dalje

Apple godinu dana čuva obrisanu istoriju pretrage browsera

Apple godinu dana čuva obrisanu istoriju pretrage browsera

Apple izgleda čuva obrisanu istoriju pretrage na iCloud nalozima, i to godinu dana, tvrdi Vladimir Katalov, direktor ElcomSofta, kompanije koja proiz... Dalje

Pojačani napadi na WordPress, hakovano više od 1,5 miliona stranica

Pojačani napadi na WordPress, hakovano više od 1,5 miliona stranica

Napadi na WordPress sajtove u kojima se koristi bezbednosni propust u REST API, koji je ispravljen sa verzijom 4.7.2 WordPressa, pojačali su se preth... Dalje