Botnet HLUX zamknięty

Przeczytaj także: Botnet HLUX w nowej wersji

Zaledwie 5 dni od rozpoczęcia procedury zamknięcia botnetu, Kaspersky Lab zneutralizował ponad 109 000 zainfekowanych komputerów. Szacuje się, że pierwszy botnet Hlux/Kelihos posiadał tylko 40 000 maszyn kontrolowanych przez cyberprzestępców. Po wstępnej analizie okazało się, że ogromna ilość zainfekowanych komputerów wykorzystywanych przez cyberprzestępców w ramach nowego Hluxa działała w Polsce.

We wrześniu 2011 r. firma Kaspersky Lab współpracowała z firmami Microsoft, SurfNet i Kyrus Tech, Inc., co doprowadziło do pomyślnego wyłączenia oryginalnego botnetu Hlux/Kelihos. W tym czasie eksperci z Kaspersky Lab przeprowadzili tzw. operację leja, która odłączyła botnet i jego infrastrukturę od serwera kontrolowanego przez cyberprzestępców.

Mimo zneutralizowania i przejęcia kontroli nad oryginalnym botnetem nowy raport opublikowany w lutym 2012 r. przez ekspertów z Kaspersky Lab ujawnił działanie drugiej sieci zainfekowanych komputerów Hlux/Kelihos. Chociaż botnet był nowy, szkodliwe oprogramowanie zostało stworzone przy pomocy tego samego kodu, który wykorzystano pierwotnie. Nowe szkodliwe oprogramowanie pokazało, że drugi botnet posiadał kilka uaktualnień, włączając w to metody infekcji i funkcje Bitcoin do tworzenia własnej kopalni oraz kradzieży portfeli z wirtualną walutą. Tak jak w przypadku pierwszej wersji, botnet ten również używał swojej sieci zainfekowanych komputerów do wysyłania spamu, kradzieży danych osobistych i przeprowadzania ataków typu DDoS na określone cele.

W jaki sposób wyłączono drugi botnet Hlux/Kelihos?
W tygodniu rozpoczynającym się od 19 marca firma Kaspersky Lab, CrowdStrike Intelligence Team i grupa Honeynet Project zainicjowały nową operację leja, która spowodowała pomyślne wyłączenie botnetu. Oba botnety Hlux/Kelihos działały w trybie peer-to-peer (P2P), co oznacza, że każdy zainfekowany komputer mógł być jednocześnie serwerem, jak i klientem. Jest to zupełne przeciwieństwo tradycyjnych botnetów, które polegają na działają w oparciu o jeden serwer kontroli.

Aby zneutralizować elastyczny botnet P2P, grupa ekspertów ds. bezpieczeństwa utworzyła globalną, rozproszoną sieć maszyn, które zostały zainstalowane w infrastrukturze Hluxa. Po krótkim czasie eksperci z Kaspersky Lab byli w stanie przejąć kontrolę nad duża liczbą zainfekowanych komputerów, uniemożliwiając tym samym cyberprzestępcom uzyskanie dostępu do tych maszyn. Wraz z neutralizacją coraz większej liczby zainfekowanych systemów nastąpiło „zapadnięcie się” infrastruktury botnetu – jego siła gwałtownie zmalała.

Wraz z rozpoczęciem 19 marca operacji leja botnet przestał poprawnie działać. Dzięki przejęciu kontroli nad większością zainfekowanych komputerów, eksperci z Kaspersky Lab teraz prowadzić analizę danych w celu namierzenia liczby infekcji i ich geograficznych lokalizacji. Do chwili obecnej wykryto 109 000 unikatowych adresów IP, z wykorzystaniem których działały zainfekowane komputery wchodzące w skład nowego Hluxa. Ogromna ilość takich maszyn (29 000) funkcjonowała w Polsce.