Ботнет Kelihos, которая по данным Лаборатории Касперского состояла всего из 41 тыс. заражённых компьютеров, так же называемых “зомби-хостами”, была способна рассылать порядка 3.8 миллиарда спам-писем каждый день. Главным образом, рекламировались разнообразные незарегистрированные медицинские услуги и препараты, мошеннические операции с биржевыми акциями. Кроме того, сеть использовалась для организации DDoS-атак, кражи персональных данных и других видов криминальной деятельности.
Корпорация Microsoft совместно с Лабораторией Касперского в сентябре прошлого года остановили работу сети, используя технологию “sinkhole” или “выгребной ямы”, заключающуюся в использовании специального сервера, включившегося в обмен “служебным” трафиком ботнета и с помощью которого удалось перехватить управление зараженными компьютерами — участниками этой сети.
(кол-во обращений к серверу “выгребной ямы” в минуту)
Однако, этот способ оказался лишь временным решением, так как компьютеры пользователей всё равно оставались заражены вредоносным кодом, и владельцы ботнета рано или поздно могут восстановить контроль над ними.
Мария Гараева, сотрудник Лаборатории Касперского, рассказала в своем блоге, что новые версии Kelihos появились уже 28-го сентября, как раз после заявления о нейтрализации ботнета. И теперь в сети используется защищённое соединение с помощью новых RSA-ключей для контроля соединения с управляющими хостами ботнета, которое включает в себя шифрование трафика между узлами, что делает затрудненной использование той же технологии, которая была применена для закрытия сети в 2011-ом году. Более того, как оказалось, теперь используются два различных ключа, что даёт основание полагать, что ботнет контролируется двумя различными группировками киберпреступников.
(архитектура ботнета Kelihos осталась такой же, поменялась только коммуникация между узлами)
Возможно по стечению обстоятельств, но ботнет вновь активизировал свою деятельность через две недели после того, как компания Microsoft подала гражданский иск в суд на жителя города Санкт-Петербурга Игоря Сабельникова, в котором обвиняет его в создании и распространении вредоносного кода, которым заражены компьютеры ботнета. Однако, сам Сабельников отрицает свою причастность к этому, и заявляет что он «шокирован и оскорблен» обвинением со стороны Microsoft, о чем он и написал в своем ЖЖ-блоге: “21-го января 2012 года, прибыв впервые в Америку в заранее запланированную длительную производственную командировку, проведя там два дня, я с безмерным удивлением и ужасом узнал из прессы, что меня обвиняют в тяжком преступлении в связи с деятельностью ботнета Kelihos. Я не совершал это преступление, никогда не участвовал в управлении ботнетами и любыми иными аналогичными программами и тем более не извлекал из этого какую-либо выгоду.”
Компания Microsoft, однако, настаивает на своей позиции, но отказывается давать более подробные комментарии. “Так как это дело будет рассматриваться в суде, мы не можем его комментировать, кроме того, что мы надеемся увидеть господина Сабельникова в суде, где мы сможем продолжить эту дискуссию”, сказал адвокат компании Microsoft Ричард Домингес Боскович.
А пока владельцы ботнета продолжают получать заказы от спамеров.