Выбрать главу

Пока вредоносную программу безуспешно искали, он плодился и множился. Попутно рос ботнет, ради которого всё и затевалось. Rustock.a и Rustock.b тоже внесли свой вклад, но Rustock.c отличился пуще всех. Авторы трояна не столько пытались сделать принципиально необнаружимую вредоносную программу, сколько затруднить его обнаружение как можно сильнее. И преуспели.

Вскоре Rustock превратился в крупный и гиперактивный ботнет, рассылающий спам буквально тоннами: он мог раскидывать до 25 тысяч мусорных писем в час с каждой заражённой машины. Впрочем, как правило, его производительность была куда ниже. По некоторым данным, на пике своей жизнедеятельности он отправлял порядка 192 писем в минуту с каждого заражённого компьютера.

Оценки величины Rustock разнятся. В "Лаборатории Касперского" считают, что Rustock никогда не превращался в крупный ботнет. "Число в несколько сотен тысяч заражённых компьютеров волне устраивало его владельцев", - говорит Сергей Голованов. По сведениям компании MessageLabs, однако, в 2010 году Rustock был лидером по объёмам спама; однако где-то среди лета он начал "усыхать" в размерах и уменьшился с 2,4 млн заражённых компьютеров до 1,3 млн.

Интересная деталь: весной 2010 года Rustock начал рассылать спам с TLS-шифрованием. Причём в огромных количествах - до 70 процентов его рассылок были под TLS, и, поскольку это был самый активный ботнет на тот период, до 35 процентов спамерских сообщений во всей мировой паутине оказались зашифрованными. Зачем? "Возможно, владельцы Rustock ошибочно полагают, что TLS добавит легитимности их почтовому трафику, но, возможно, они просто опасаются, что за их спамом кто-то следит", - предположили тогда в Symantec.

Как выяснилось, и вправду следили...

Первый удар

Попытки что-то сделать с этим ботнетом предпринимались довольно долго. 11 ноября 2008 года был закрыт располагавшийся в Сан-Хосе хостинг-провайдер McColo. За этим немедленно последовало резкое падение мировых объёмов спама.

Дело в том, что McColo предоставлял услуги так называемого "пуленепробиваемого хостинга": компания не задавала своим клиентам ненужных вопросов и не реагировала на жалобы. На McColo собралась живописнейшая компания: спамеры, распространители детской порнографии, фишеры и прочих "мерзавцев сотни три". Среди клиентов McColo всплыла даже Russian Business Network - полумифическая питерская фирма, которая также занималась криминальным бизнесом в киберпространстве, включая "пуленепробиваемый хостинг" со всяким "интересным" контентом. И, самое главное, на серверах McColo располагались контрольные центры ботнетов Mega-D, Srizbi, Pushdo, Warezov и нашего дорогого Rustock.

19 ноября 2008 года McColo, воспользовавшись соглашением о резервном копировании со шведским провайдером TeliaSonera, ненадолго вернулся в онлайн, но его тут же снова закрыли. Впрочем, судя по всему, этого времени хватило, чтобы перевести контрольные серверы ботнетов с тонущего хостера куда-то ещё.

Спустя несколько недель объёмы спама вернулись к прежним значениям.

Операция b107

В середине марта 2011 года, к вящему недоумению борцов с сетевыми напастями, ботнет Rustock заглох намертво. Его активность уже снижалась в рождественско-новогодний период, но затем он снова воспрял. Возникла масса пересудов на тему возможного возвращения ботнета в строй.

18 марта отдел по борьбе с киберпреступностью Microsoft объявил, что он совместно с правоохранительными органами США провёл операцию под кодовым названием b107, в результате которой ботнет Rustock был обезглавлен.

Операция против Rustock проводилась по той же схеме, что и более ранняя (и успешная) атака на ботнет Waledac. Первый этап был сугубо юридическим: владельцев ботнета Rustock обвинили в нарушении лицензионного соглашения Windows, поскольку Rustock делает возможным удалённый доступ к ОС Windows на заражённом компьютере, что категорически запрещено лицензией. Это ещё не всё: поступило обвинение и в нарушениях торговой марки (изрядная часть спама шла через Hotmail), и нарушении американского закона CAN-SPAM.

Комедия? Это ещё не всё: в Microsoft заручились поддержкой - кого бы вы думали? - фармацевтической компании Pfizer, выпускающей "Виагру". Ей давно надоела спамерская реклама: и покушение на торговую марку, и для здоровья опасно.

В результате корпорациям удалось добиться изъятия дисков, на которых находились контрольные серверы ботнета. После этого второй этап был делом техники. У Rustock нашлось несколько слабых мест: для обмена данными между клиентом и сервером используется протокол HTTP; вдобавок бот-агенты ищут контрольные серверы не только по DNS, но и по списку IP-адресов, встроенных в исходный код троянов. Их надо было отключать все разом. Что и было проделано.

Помощь Microsoft оказали компания FireEye (в прошлом она косвенно поучаствовала в закрытии McColo) и специалисты по сетевой безопасности из Университета штата Вашингтон. За рубежом к операции подключились киберподразделение полиции Нидерландов (как минимум один контрольный центр находился на территории этой страны) и китайское агентство CNCERT/CC - оно заблокировало домены, находившиеся на территории Поднебесной.