Эксперты RSA представили результаты исследования, в ходе которого им удалось
раскрыть схему работы сетевой инфраструктуры, позволяющей нескольким известным
ботнетам практически всегда поддерживать устойчивую связь между зараженными
машинами и серверами управления, оставаясь неуязвимыми к попыткам отключения от
Интернета.
В центре паутины находятся восемь защищенных сетей, в которых расположены
серверы управления ботнетами. Это: Citygame, Vishclub, Smila, Mariam UA,
Prombuddetal, VVPN, Vesteh и Bogonet.
Они также окружены сетью, состоящей из пяти промежуточных провайдеров более
высокого уровня. В их числе значатся Troyak, Profitlan, Taba, Smallshop и Ya.
Эти провайдеры, в свою очередь, связаны напрямую с внешним миром через сеть,
состоящую из девяти легальных поставщиков услуг Интернета. Их названия – PIN,
IHome, Oversun-Mercury, Root, RTCOMM, NLINE, NASSIST, Fiord и DEAC.
Если законопослушные провайдеры решат вдруг “дернуть за рубильник”, как это
произошло в случае с “Оверсан-Меркурий” и IHome,
отключившими от сети
Troyak, оставшиеся промежуточные сети продолжат предоставлять внутренним
серверам управления и контроля доступ к Интернету через своих собственных
провайдеров.
Такая организация сетевых подключений во многом объясняет то, почему спустя
всего несколько десятков часов после отключения от сети провайдера Troyak
практически все серверы управления ботнетами семейства ZeuS смогли возобновить
свою работу.
С полной версией отчета RSA можно ознакомиться
здесь.
