Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

В Kelihos ботнета , также известный как Hlux , является ботнет в основном участвует в рассылке спама и кражи Bitcoins . [1]

История [ править ]

Ботнет Kelihos был впервые обнаружен примерно в декабре 2010 года . [2] Первоначально исследователи подозревали, что нашли новую версию ботнета Storm или Waledac , из-за схожести методов работы и исходного кода бота, [3] [4] но анализ ботнета показал, что это был новый , 45 000 зараженных компьютеров, ботнет, способный отправлять около 4 миллиардов спам-сообщений в день. [5] [6] В сентябре 2011 года [7] Microsoft отключила ботнет в ходе операции под кодовым названием «Операция b79».[5] [8] В то же время Microsoft подала гражданские иски против Доминика Александра Пьятти, dotFREE Group SRO и 22обвиняемых Джона Доу по подозрению в причастности к ботнету для выдачи 3700 субдоменов , которые использовались ботнетом. [8] [9] Эти обвинения были позже сняты, когда Microsoft определила, что названные ответчики намеренно не помогали контроллерам ботнета. [10] [11]

В январе 2012 года была обнаружена новая версия ботнета, иногда называемая Kelihos.b или Версия 2, [1] [6] [7], состоящая из примерно 110 000 зараженных компьютеров. [1] [12] В том же месяце Microsoft выдвинула обвинения против гражданина России Андрея Сабельникова, бывшего специалиста по ИТ-безопасности, за то, что он предположительно является создателем исходного кода ботнета Kelihos . [11] [13] [14] Вторая версия самого ботнета была отключена им в марте 2012 года несколькими частными фирмами, заблокировав его - метод, который давал компаниям контроль над ботнетом при одновременном отключении исходных контроллеров.[2] [15]

После закрытия второй версии ботнета новая версия появилась уже 2 апреля, хотя между исследовательскими группами есть некоторые разногласия, является ли ботнет просто остатками отключенного ботнета версии 2 или новой версией в целом. [16] [17] Эта версия ботнета в настоящее время состоит из примерно 70 000 зараженных компьютеров. Версия Kelihos.c в основном заражает компьютеры через Facebook, отправляя пользователям сайта вредоносные ссылки для скачивания. При нажатии загружается троянский конь Fifesoc, который превращает компьютер в зомби , являющегося частью ботнета. [18]

24 ноября 2015 года произошло событие ботнета Kelihos, вызвавшее большое количество ложных срабатываний IP-адресов, внесенных в черный список:

″ 24 ноября 2015 г. Широкое распространение ложных срабатываний

Ранее сегодня произошло очень крупномасштабное событие ботнета Kelihos - в больших масштабах многие почтовые установки будут видеть более 20% спама kelihos, а некоторые увидят, что объем их входящей почты увеличится на целых 500%. Обычно в этом нет ничего необычного, CBL / XBL успешно справляется с подобными крупномасштабными всплесками спама от Kelihos, часто ежедневно, в течение многих лет.

Письмо было якобы от Федеральной резервной системы США, в котором говорилось что-то об ограничениях на «Федеральный перевод средств США и онлайн-платежи через ACH». Не только само уведомление было мошенническим, но и прикрепленная электронная таблица Excel (.xls) содержала макро-инструкции (загрузчик) для загрузки исполняемого вируса Windows, скорее всего, вредоносной программы Dyreza или Dridex.

Правила обнаружения, изначально примененные CBL, к сожалению, были недостаточно детализированы, и в них был указан ряд ошибочных IP-адресов. ″ [19]

Обнародованные 5 февраля 2018 года письменные показания показали неожиданную роль Apple в привлечении к ответственности российского короля спама. Петр Левашов якобы управлял ботнетом Kelihos под псевдонимом «Севера», сдавая в аренду доступ спамерам и другим киберпреступникам. Но, несмотря на значительные усилия Левашова по сохранению анонимности, протоколы судебных заседаний показывают, что федеральные агенты наблюдали за его аккаунтом в iCloud с 20 мая 2016 года, передавая важную информацию, которая могла привести к его аресту. Постоянный федеральный ордер на iCloud предоставил властям текущую вкладку IP-адресов, используемых для входа в учетную запись, что могло бы легко сообщить им о его отпуске в Барселоне, Испания., и был арестован по запросу правоохранительных органов США и экстрадирован в Соединенные Штаты для судебного преследования. [20]

Структура, операции и распространение [ править ]

Ботнет Kelihos - это так называемый одноранговый ботнет, в котором отдельные узлы ботнета могут выступать в качестве командно-управляющих серверов для всего ботнета. В традиционных одноранговых ботнетах все узлы получают свои инструкции и «работают» от ограниченного набора серверов - если эти серверы будут удалены или отключены, ботнет больше не будет получать инструкции и, следовательно, будет эффективно отключен. . [21] Одноранговые ботнеты стремятся снизить этот риск, позволяя каждому одноранговому узлу отправлять инструкции всему ботнету, что затрудняет завершение работы. [2]

Первая версия ботнета в основном вовлечен в отказ в обслуживании и спама в электронной почте , в то время как версия два ботнета добавлена возможность украсть Bitcoin бумажники, а также программу , используемую для шахты Bitcoins себя. [2] [22] Его способность к спаму позволяет ботнету распространяться, рассылая вредоносные ссылки пользователям, чтобы заразить их троянским конем, хотя более поздние версии в основном распространяются через сайты социальных сетей, в частности через Facebook. [16] [23] Более полный список спама Kelihos можно найти в следующем исследовании. [24]

Ордер на обыск США против Левашова (незапечатанный)

Арест и экстрадиция [ править ]

2 февраля 2018 года Министерство юстиции США объявило, что гражданин России был экстрадирован из Испании и будет привлечен к уголовной ответственности в Коннектикуте по обвинениям, связанным с его предполагаемой работой с ботнетом Kelihos. Петр Юрьевич Левашов, 37 лет, также известный как Петр Левашов, [25] Петр Левашов, Петр Севера, Петр Севера и Сергей Астахов, из Санкт-Петербурга, был задержан 7 апреля 2017 года в Барселоне , когда он был арестован испанскими властями на основании заявление о возбуждении уголовного дела и ордер на арест, выданный в округе США, Коннектикут. [26] На 3 февраля 2018 года, он не признал себя виновным по обвинению в проволоке и электронной почты мошенничества ,взлом , кража личных данных и заговор после выступления перед федеральным судьей в американском штате Коннектикут . Он остается в заключении. [25] В сентябре 2018 года Левашов признал себя виновным. [27]

См. Также [ править ]

  • Ботнет
  • Спам в электронной почте
  • Интернет-преступление
  • Интернет-безопасность
  • Вредоносное ПО

Ссылки [ править ]

  1. ^ a b c Миллс, Элинор (28 марта 2012 г.). «110 000 ПК-ботнетов Kelihos отключены» . CNET . Проверено 28 апреля 2012 года .
  2. ^ a b c d Ортлофф, Стефан (28 марта 2012 г.). «FAQ: Отключение нового ботнета Hlux / Kelihos» . Securelist.com . Дата обращения 19 мая 2020 .
  3. Адэр, Стивен (30 декабря 2010 г.). "Новый ботнет Fast Flux к праздникам: может быть, Storm Worm 3.0 / Waledac 2.0?" . Shadowserver . Проверено 28 апреля 2012 года .
  4. Рианна Донохью, Брайан (29 марта 2012 г.). "Kelihos Returns: тот же ботнет или новая версия?" . Threatpost . Архивировано из оригинала 4 апреля 2012 года . Проверено 28 апреля 2012 года .
  5. ^ Б Миллс, Элеонор (27 сентября 2011). «Microsoft останавливает другой ботнет: Kelihos» . CNet . Проверено 28 апреля 2012 года .
  6. ^ a b Кирк, Джереми (1 февраля 2012 г.). «Ботнет Kelihos, некогда искалеченный, теперь набирает силу» . Сетевой мир . Архивировано из оригинального 5 сентября 2012 года . Проверено 28 апреля 2012 года .
  7. ^ a b Константин, Лучиан (28 марта 2012 г.). «Фирмы по безопасности отключили второй ботнет Kelihos» . PCWorld . Проверено 28 апреля 2012 года .
  8. ^ a b Боскович, Ричард (27 сентября 2011 г.). «Microsoft нейтрализует ботнет Kelihos, назначает ответчика по делу» . Microsoft TechNet . Проверено 28 апреля 2012 года .
  9. ^ Microsoft (26 сентября 2011 г.). «Операция b79 (Kelihos) и дополнительный сентябрьский выпуск MSRT» . Microsoft Technet . Проверено 28 апреля 2012 года .
  10. Латиф, Лоуренс (27 октября 2011 г.). «Microsoft падает Kelihos ботнет обвинения против владельца ISP» . Спрашивающий . Проверено 28 апреля 2012 года .
  11. ^ a b Гонсалвес, Антон (24 января 2012 г.). "Microsoft утверждает, что бывший производитель антивирусов запустил ботнет" . Журнал CRN . Проверено 28 апреля 2012 года .
  12. Уоррен, Том (29 марта 2012 г.). «Второй ботнет Kelihos отключен, 116 000 машин освобождены» . Грань . Проверено 28 апреля 2012 года .
  13. Брюстер, Том (24 января 2012 г.). «Microsoft подозревает экс-антивируса в создании ботнета Kelihos» . ЭТО ПРО . Проверено 28 апреля 2012 года .
  14. Кейзер, Грегг (24 января 2012 г.). «Подсудимый производитель ботнета Kelihos работал на две охранные фирмы | ITworld» . ITworld . Проверено 28 апреля 2012 года .
  15. Рианна Донохью, Брайан (28 марта 2012 г.). «Касперский снова сбивает ботнет Kelihos, но ожидает возврата» . ThreatPost . Архивировано из оригинального 12 апреля 2012 года . Проверено 28 апреля 2012 года .
  16. ^ a b Рейвуд, Дэн (2 апреля 2012 г.). «Исследователи CrowdStrike отрицают, что Kelihos породил новую версию - SC Magazine UK» . Журнал SC . Проверено 29 апреля 2012 года .
  17. Лейден, Джон (29 марта 2012 г.). «Зомби Kelihos вырываются из массовых захоронений после резни ботнета» . Реестр . Проверено 28 апреля 2012 года .
  18. ^ Новости SPAMfighter (13 апреля 2012 г.). «Ботнет Kelihos возрождается, на этот раз атакует социальные сети» . SPAMfighter . Проверено 28 апреля 2012 года .
  19. ^ http://www.abuseat.org [ требуется полная ссылка ]
  20. ^ «Федеральные службы выследили российского вора в спаме с помощью его учетной записи iCloud» . Грань . Проверено 6 февраля 2018 .
  21. ^ Гриззард, Джулиан; Дэвид Дагон; Викрам Шарма; Крис Наннери; Брент Бён Хун Кан (3 апреля 2007 г.). «Одноранговые ботнеты: обзор и практический пример» . Лаборатория прикладной физики Университета Джона Хопкинса . Проверено 28 апреля 2012 года .
  22. ^ SPAMfighter (5 апреля 2012). «Охранные компании уничтожают ботнет Kelihos версии 2» . SPAMfighter . Проверено 28 апреля 2012 года .
  23. ^ Йоргенсон, Петра (6 апреля 2012). «Ботнет Kelihos может возродиться через червя Facebook» . Midsize Insider . Проверено 29 апреля 2012 года .
  24. ^ Арора, Арш; Гэннон, Макс; Уорнер, Гэри (15 мая 2017 г.). «Ботнет Kelihos: бесконечная сага» . Ежегодная конференция ADFSL по цифровой криминалистике, безопасности и праву .
  25. ^ a b «Россиянин, обвиняемый в распространении спама в сети, экстрадирован в США» . Deutsche Welle . 3 февраля 2018 . Проверено 2 апреля 2019 .
  26. ^ «Предполагаемый оператор ботнета Kelihos, экстрадированный из Испании» . www.justice.gov . 2 февраля 2018 . Проверено 3 февраля 2018 .
  27. ^ Farivar, Сайрус (13 сентября 2018). «Русский человек признает себя виновным, признает, что управлял печально известным ботнетом Kelihos» . ArsTechnica . Проверено 2 апреля 2019 .