Microsoft случайно захватила около 1000 чужих доменов

На прошлой неделе Microsoft и ФБР объявили о выведении из строя более 1000 ботнетов Citadel (по некоторым данным, более 1400)

Об этом сообщает "ХАКЕР.ру.".

Но сейчас выясняется, что "Операция b54" прошла не так удачно, как предполагалось.

Суть операции Microsoft заключалась в том, чтобы изъять 4000 доменных имен, которые использовались ботнетами Citadel, и перенаправить их на свой собственный C&C-сервер. Технически, это называется перехватом управления или синкхолингом (sinkholing).

Синкхолинг не представляет собой ничего инновационного: эта техника используется уже давно. В частности, ее применяли для захвата ботнета Conficker в 2009 году. Синкхолинг обычно используют для сбора информации об инфицированных компьютерах и сообщения информации владельцам пораженных сетей.

В наши дни в интернете полно sinkhole-серверов, большинство из них принадлежат разным исследователям, хотя есть и коммерческие — для продажи информации клиентам. Один из самых известных специалистов по синкхолингу — швейцарский исследователь, которому принадлежит сайт Abuse.ch и известный трекер ботнетов: ботнеты ZeuS, ботнеты SpyEye, ботнеты Palevo. Именно этого исследователя нечаянно обидела корпорация Microsoft во время своей последней операции.

Он уже много лет держит sinkhole-серверы и отправляет собранную информацию в некоммерческую организацию Shadowserver, которая уведомляет владельцев зараженных систем. Каждая компания, национальный CERT или провайдер может подписаться в Shadowserver на бесплатный фид с уведомлениями о своей сети. Сейчас на них подписаны более 1500 компаний и 60 национальных CERT.

Так вот, 7 июня с sinkhole-сервера Abuse.ch неожиданно исчезло более 300 доменов. Владелец начал искать пропажу — и выяснил, что все они теперь ссылаются на сервер в корпоративном сегменте Microsoft (199.2.137.0/24). Очевидно, в результате своей операции Microsoft изъяла не только домены с реальными управляющими серверами, но и домены сторонних исследователей.

Самое грустное, что таким же бесцеремонным образом Microsoft поступила и в прошлом году, во время операции против ботнетов ZeuS: тогда тоже Abuse.ch лишился нескольких сотен доменов.

Чтобы избежать повторения ситуации, владелец Abuse.ch тогда объявил о запуске непубличного реестра Sinkhole Registry для правоохранительных органов или компаний, которые собираются в будущем проводить операции против ботнетов. Но это не помогло: Microsoft не запрашивало информацию из этого реестра.

Пострадал не только Abuse.ch, но и несколько десятков других операторов sinkhole-серверов. У некоторых из них потери тоже достигают нескольких сотен доменов. В общей сложности, по приблизительной оценке, около 1000 из примерно 4000 доменов, изъятых компанией Microsoft во время операции против Citadel, — это sinkhole-серверы, принадлежавшие исследователям.

И это только вершина айсберга. Кроме захвата чужих ботов, Microsoft еще и рассылает со своего C&C-сервера конфигурационные файлы Citadel, чтобы заблокировать переход ботов в будущем на другие управляющие серверы, кроме Microsoft. По общему мнению операторов sinkhole-серверов, компания Microsoft нарушает уголовный кодекс, несанкционированно проникая в чужие компьютеры и меняя настройки ботов.