Тестовый маршрутизатор антивирусной компании приняли за контрольный сервер ботнета gauss

Курьёзная история вышла с попытками разгадать загадки “фундаментальных” зловредов Flame и Gauss – вредоносной программы, ворующей эти пользователей для банковских сервисов и платёжных систем: две компании, занимающиеся вопросами сетевой безопасности, практически “сшиблись лбами”.

Некое время назад “Лаборатория Касперского” заявила о наличии сходства в коде Flame и Gauss, предположив, что обе вирусы по существу являются одного поля ягодами.

Компания FireEye, узнаваемая по совместной с Микрософт операцией по уничтожению ботнета Grum (жаль, не полному и не окончательному), опубликовала результаты собственного изучения, из которого следовало, что обладатели Gauss сейчас применяют в качестве командного центра тот сервер с тем же IP-адресом, на котором находится CnC (командный сервер) Flame.

– Ранее “Лаборатория Касперского” нашла любопытное сходство в коде между Gauss и Flame, но последние события совсем обосновывают, что и за Gauss, и за Flame стоят одинаковые люди, – говорилось в заявлении FireEye.

“Мы, само собой разумеется, весьма просим прощения, но вообще-то это отечественный sinkhole-сервер”, – таков был неспециализированный суть встречного заявления “Лаборатории Касперского”.

– По окончании обнаружения Guass мы приступили к работе с несколькими организациями с целью изучения его контрольных серверов, применяя способ Sinkhole, – заявил ведущий специалист “Лаборатории” Александр Гостев изданию Ars Technica.

Посредством этого способа “Лаборатория” уже два раза “угоняла” у обладателей ботнеты семейства Kelihos. В случае, если упрощённо, речь заходит о внедрении в инфраструктуру ботнета поддельных контрольных серверов, каковые “боты” начинают принимать как главные. Так, контроль над ботнетом выясняется вероятным перехватить абсолютно.

Учитывая связь между Flame и Gauss, мы применяли sinkhole-инструментарий для наблюдения за инфраструктурами обоих ботнетов. Нужно подчернуть, что структура контрольных серверов Gauss радикально отличается от структуры Flame. Контрольные центры Gauss были отключены его операторами в июле и с того времени пребывают в “дремлющем” состоянии. Мы, но, желали пронаблюдать за происходящим в обоих ботнетах. На протяжении процесса подготовки мы сообщили о создании отечественных sinkhole-маршрутизаторов и их IP-адресах доверенных участников сообщества, занимающегося вопросами безопасности, дабы они были в курсе всех предпринимаемых шагов. Пост FireEye, говорящий о ботах Gauss, связывающихся с тем же сервером, что и Flame, обрисовывает, в действительности, отечественный sinkhole-маршрутизатор.

Маленький поиск в Гугл и Whois разрешил бы это всё проверить, – добавил Гостев.

FireEye достаточно оперативно опубликовали извинения по поводу произошедшего недоразумения. Обознались, мол.

Случайное видео:


Интересные записи: