На прошлой неделе Microsoft и ФБР объявили о выведении из строя более 1000 ботнетов Citadel (по некоторым данным, более 1400). Но сейчас выясняется, что «Операция b54» прошла не так удачно, как предполагалось.
Суть операции Microsoft заключалась в том, чтобы изъять 4000 доменных имен, которые использовались ботнетами Citadel, и перенаправить их на свой собственный C&C-сервер. Технически, это называется перехватом управления или синкхолингом (sinkholing).
Синкхолинг не представляет собой ничего инновационного: эта техника используется уже давно. В частности, ее применяли для захвата ботнета Conficker в 2009 году. Синкхолинг обычно используют для сбора информации об инфицированных компьютерах и сообщения информации владельцам пораженных сетей.
В наши дни в интернете полно sinkhole-серверов, большинство из них принадлежат разным исследователям, хотя есть и коммерческие — для продажи информации клиентам. Один из самых известных специалистов по синкхолингу — швейцарский исследователь, которому принадлежит сайт Abuse.ch и известный трекер ботнетов: ботнеты ZeuS, ботнеты SpyEye, ботнеты Palevo. Именно этого исследователя нечаянно обидела корпорация Microsoft во время своей последней операции.
Он уже много лет держит sinkhole-серверы и отправляет собранную информацию в некоммерческую организацию Shadowserver, которая уведомляет владельцев зараженных систем. Каждая компания, национальный CERT или провайдер может подписаться в Shadowserver на бесплатный фид с уведомлениями о своей сети. Сейчас на них подписаны более 1500 компаний и 60 национальных CERT.
Так вот, 7 июня с sinkhole-сервера Abuse.ch неожиданно исчезло более 300 доменов. Владелец начал искать пропажу — и выяснил, что все они теперь ссылаются на сервер в корпоративном сегменте Microsoft (199.2.137.0/24). Очевидно, в результате своей операции Microsoft изъяла не только домены с реальными управляющими серверами, но и домены сторонних исследователей.
Самое грустное, что таким же бесцеремонным образом Microsoft поступила и в прошлом году, во время операции против ботнетов ZeuS: тогда тоже Abuse.ch лишился нескольких сотен доменов.
Чтобы избежать повторения ситуации, владелец Abuse.ch тогда объявил о запуске непубличного реестра Sinkhole Registry для правоохранительных органов или компаний, которые собираются в будущем проводить операции против ботнетов. Но это не помогло: Microsoft не запрашивало информацию из этого реестра.
Пострадал не только Abuse.ch, но и несколько десятков других операторов sinkhole-серверов. У некоторых из них потери тоже достигают нескольких сотен доменов. В общей сложности, по приблизительной оценке, около 1000 из примерно 4000 доменов, изъятых компанией Microsoft во время операции против Citadel, — это sinkhole-серверы, принадлежавшие исследователям.
И это только вершина айсберга. Кроме захвата чужих ботов, Microsoft еще и рассылает со своего C&C-сервера конфигурационные файлы Citadel, чтобы заблокировать переход ботов в будущем на другие управляющие серверы, кроме Microsoft. По общему мнению операторов sinkhole-серверов, компания Microsoft нарушает уголовный кодекс, несанкционированно проникая в чужие компьютеры и меняя настройки ботов.