Тестовый маршрутизатор антивирусной компании приняли за контрольный сервер ботнета Gauss

Юрий Ильин Автор: Юрий Ильин
Опубликовано 24.08.2012 в блоге автора (rss)

Курьёзная история вышла с попытками разгадать загадки «фундаментальных» зловредов Flame и Gauss — вредоносной программы, крадущей данные пользователей для платёжных систем и банковских сервисов: две компании, занимающиеся вопросами сетевой безопасности, буквально «сшиблись лбами».

Некоторое время назад «Лаборатория Касперского» объявила о наличии сходства в коде Flame и Gauss, предположив, что обе вредоносные программы по существу являются одного поля ягодами.

Компания FireEye, известная по совместной с Microsoft операцией по уничтожению ботнета Grum (жаль, не полному и не окончательному), опубликовала результаты своего исследования, из которого следовало, что владельцы Gauss теперь используют в качестве командного центра тот сервер с тем же IP-адресом, на котором располагается CnC (командный сервер) Flame. 

— Ранее «Лаборатория Касперского» обнаружила любопытное сходство в коде между Gauss и Flame, но последние события окончательно доказывают, что и за Gauss, и за Flame стоят одни и те же люди, — говорилось в заявлении FireEye.

«Мы, конечно, очень извиняемся, но вообще-то это наш sinkhole-сервер», — таков был общий смысл встречного заявления «Лаборатории Касперского». 

— После обнаружения Guass мы приступили к работе с несколькими организациями с целью исследования его контрольных серверов, используя метод Sinkhole, — заявил ведущий эксперт «Лаборатории» Александр Гостев изданию Ars Technica. 

С помощью этого метода «Лаборатория» уже дважды «угоняла» у владельцев ботнеты семейства Kelihos. Если упрощённо, речь идёт о внедрении в инфраструктуру ботнета поддельных контрольных серверов, которые «боты» начинают воспринимать как основные. Таким образом, контроль над ботнетом оказывается возможным перехватить полностью.

— Учитывая связь между Flame и Gauss, мы использовали sinkhole-инструментарий для наблюдения за инфраструктурами обоих ботнетов. Необходимо отметить, что структура контрольных серверов Gauss радикально отличается от структуры Flame. Контрольные центры Gauss были отключены его операторами в июле и с тех пор пребывают в «спящем» состоянии. Мы, однако, хотели пронаблюдать за происходящим в обоих ботнетах. В ходе процесса подготовки мы проинформировали о создании наших sinkhole-маршрутизаторов и их IP-адресах доверенных членов сообщества, занимающегося вопросами безопасности, чтобы они были в курсе всех предпринимаемых шагов. Пост FireEye, рассказывающий о ботах Gauss, связывающихся с тем же сервером, что и Flame, описывает, на самом деле, наш sinkhole-маршрутизатор.

Небольшой поиск в Google и Whois позволил бы это всё проверить, — добавил Гостев. 

FireEye довольно оперативно опубликовали извинения по поводу случившегося недоразумения. Обознались, дескать.

Темы: FireEye, flame, Gauss, sinkhole, Безопасность, ботнеты, Лаборатория Касперского


Источник: http://feedproxy.google.com/~r/ct_news/~3/2BTqD0AlvGg/37814

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Тестовый маршрутизатор антивирусной компании приняли за контрольный сервер ботнета Gauss | | 2012-08-24 14:42:00 | | Технологии и новости мира IT | | Курьёзная история вышла с попытками разгадать загадки «фундаментальных» зловредов Flame и Gauss — вредоносной программы, крадущей данные пользователей для платёжных систем и банковских сервисов: две | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: