В последние пару недель Twitter подвергается многочисленным атакам, в ходе
которых на сервис посылается больше трафика, чем он в состоянии обработать. Как
выясняется, вдобавок злоумышленники использовали этот сайт микроблогов для того,
чтобы отдавать команды тем самым машинам, которые стали виной его выхода из
строя.
К такому выводу пришел Хосе Назарио из Arbor Networks. В четверг он случайно
наткнулся на аккаунт
Twitter, который использовался как часть импровизированного сервера
обновлений для компьютеров, входящих в ботнет, принимавший участие в атаке на
этот сайт.
Через этот аккаунт, который был очень быстро заблокирован, публиковались
заметки, содержавшие одну-единственную строку текста, которая не поддавалась
расшифровке невооруженным глазом. Однако при расшифровке декодером base64
становилось ясно, что в сообщениях содержатся ссылки на серверы, по которым
инфицированные машины могут получать обновления для вредоносных программ. Это
первый случай, когда для подобного рода целей был использован Twitter.
По
словам Назарио, ему удалось обнаружить еще как минимум два аккаунта на
Twitter, использовавшихся для аналогичных целей, однако для того, чтобы
окончательно убедиться в этом, ему потребуется провести дополнительный анализ.
Боты используют аккаунт Twitter, присоединяясь через каналы RSS, что позволяет
им получать информацию в режиме реального времени без необходимости заведения
аккаунта.
По состоянию на текущий момент, авторы ботнета отлично справляются с тем,
чтобы удерживать его под покровом тайны. По
данным VirusTotal, первоначальную версию бот-агента определяют лишь 46%
основных антивирусов, а после обновления троян Buzus становится еще более
неуловимым – его наличие определяют лишь 22% антивирусов.
