Jump to content

Келихос ботнет

Ботнет Kelihos , также известный как Hlux , представляет собой ботнет, который в основном занимается спам-рассылкой и кражей биткойнов . [1]

История

[ редактировать ]

Ботнет Kelihos был впервые обнаружен примерно в декабре 2010 года . [2] Первоначально исследователи подозревали, что нашли новую версию ботнета Storm или Waledac из-за сходства в методах работы и исходном коде бота. [3] [4] однако анализ ботнета показал, что это был новый ботнет с 45 000 зараженных компьютеров, способный рассылать примерно 4 миллиарда спам-сообщений в день. [5] [6] В сентябре 2011 г. [7] Microsoft ликвидировала ботнет в ходе операции под кодовым названием «Операция b79». [5] [8] В то же время Microsoft выдвинула гражданские обвинения против Доминика Александра Пьятти, dotFREE Group SRO и 22 ответчиков Джона Доу по подозрению в причастности к ботнету для выдачи 3700 субдоменов , которые использовались ботнетом. [8] [9] Позже эти обвинения были сняты, когда Microsoft установила, что названные обвиняемые не оказывали преднамеренную помощь контролерам ботнета. [10] [11]

В январе 2012 года была обнаружена новая версия ботнета, которую иногда называют Kelihos.b или Версия 2. [1] [6] [7] состоящий примерно из 110 000 зараженных компьютеров. [1] [12] В том же месяце Microsoft выдвинула обвинения против гражданина России Андрея Сабельникова, бывшего специалиста по ИТ-безопасности, в том, что он предполагаемый создатель исходного кода ботнета Kelihos . [11] [13] [14] Вторая версия самого ботнета была закрыта ею в марте 2012 года несколькими частными фирмами путем ее «синкхолинга » — метода, который давал компаниям контроль над ботнетом, одновременно отключая первоначальные контроллеры. [2] [15]

После закрытия второй версии ботнета уже 2 апреля появилась новая версия, хотя между исследовательскими группами существуют некоторые разногласия по поводу того, является ли ботнет просто остатками отключенного ботнета Версии 2 или вообще новой версией. [16] [17] Эта версия ботнета в настоящее время состоит примерно из 70 000 зараженных компьютеров. Версия Kelihos.c в основном заражает компьютеры через Facebook, отправляя пользователям сайта вредоносные ссылки для скачивания. При нажатии загружается троян по имени Fifesoc, который превращает компьютер в зомби , являющегося частью ботнета. [18]

24 ноября 2015 года произошло событие ботнета Kelihos, вызвавшее широкое распространение ложных срабатываний IP-адресов, занесенных в черный список:

″24 ноября 2015 г. Широкое распространение ложных срабатываний

Ранее сегодня произошло очень крупномасштабное событие ботнета Kelihos: во многих почтовых установках будет наблюдаться более 20% спама kelihos, а в некоторых объем входящей электронной почты подскочит на целых 500%. Обычно в этом нет ничего необычного: CBL/XBL успешно справляется с подобными крупномасштабными всплесками спама на Kelihos, часто ежедневно, в течение многих лет.

Письмо якобы было отправлено Федеральной резервной системой США, в нем говорилось что-то об ограничениях в «онлайн-платежах Федерального банка США и ACH». Мало того, что само уведомление было мошенническим, приложенная электронная таблица Excel (.xls) содержала макрокоманды (загрузчик) для загрузки исполняемого вируса Windows, скорее всего, вредоносного ПО Dyreza или Dridex .

К сожалению, правила обнаружения, первоначально внедренные CBL, были недостаточно подробными и содержали ошибочный список IP-адресов». [19]

В письменных показаниях, опубликованных 5 февраля 2018 года, показана неожиданная роль Apple в привлечении к ответственности российского короля спама. Петр Левашов якобы управлял ботнетом Kelihos под псевдонимом «Севера», сдавая доступ в аренду спамерам и другим киберпреступникам. Но, несмотря на значительные усилия Левашова по сохранению анонимности, судебные протоколы показывают, что федеральные агенты следили за его учетной записью iCloud с 20 мая 2016 года, передавая важную информацию, которая могла привести к его аресту. Действующий федеральный ордер на iCloud предоставил бы властям действующую вкладку IP-адресов, используемых для входа в учетную запись, которая легко могла бы сообщить им о его поездке в Барселону, Испания , и который был арестован по запросу правоохранительных органов США и экстрадирован. в США для судебного преследования. [20]

Структура, операции и распространение

[ редактировать ]

Ботнет Kelihos — это так называемый одноранговый ботнет, в котором отдельные узлы ботнета способны выступать в качестве серверов управления и контроля для всего ботнета. В традиционных неодноранговых ботнетах все узлы получают свои инструкции и «работают» с ограниченного набора серверов – если эти серверы будут удалены или отключены, ботнет больше не будет получать инструкции и, следовательно, фактически отключится. . [21] Одноранговые ботнеты стремятся снизить этот риск, позволяя каждому узлу отправлять инструкции всему ботнету, что затрудняет его выключение. [2]

Первая версия ботнета в основном занималась атаками типа «отказ в обслуживании» и спамом по электронной почте , тогда как вторая версия ботнета добавляла возможность кражи биткойн- кошельков, а также программу, используемую для майнинга биткойнов. [2] [22] Его спам-мощность позволяет ботнету распространяться, рассылая пользователям ссылки на вредоносные программы с целью заражения их троянским конем, хотя более поздние версии в основном распространяются через сайты социальных сетей, в частности через Facebook. [16] [23] Более полный список спама Kelihos можно найти в следующей исследовательской статье. [24]

Ордер на обыск против Левашова США (незапечатанный)

Арест и экстрадиция

[ редактировать ]

2 февраля 2018 года Министерство юстиции США объявило, что гражданин России был экстрадирован из Испании и будет привлечен к ответственности в Коннектикуте по обвинениям, связанным с его предполагаемой эксплуатацией бот-сети Kelihos. Петр Юрьевич Левашов , 37 лет, также известный как Петр Левашов, [25] Петр Левашов, Питер Севера, Петр Севера и Сергей Астахов из Санкт-Петербурга были задержаны 7 апреля 2017 года в Барселоне , когда он был арестован испанскими властями на основании уголовного заявления и ордера на арест, выданного в американском округе Коннектикут. [26] 3 февраля 2018 года он не признал себя виновным по обвинениям в мошенничестве с использованием электронных средств связи и электронной почты , хакерстве , краже личных данных и заговоре после того, как предстал перед федеральным судьей в американском штате Коннектикут . Он остается под стражей. [25] В сентябре 2018 года Левашов признал себя виновным. [27]

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Jump up to: а б с Миллс, Элинор (28 марта 2012 г.). «Ботнет Kelihos на 110 000 ПК выведен из игры» . CNET . Проверено 28 апреля 2012 г.
  2. ^ Jump up to: а б с д Ортлов, Стефан (28 марта 2012 г.). «Часто задаваемые вопросы: отключение нового ботнета Hlux/Kelihos» . Securelist.com . Проверено 19 мая 2020 г.
  3. ^ Адэр, Стивен (30 декабря 2010 г.). «Новый ботнет Fast Flux к праздникам: может ли это быть Storm Worm 3.0/Waledac 2.0?» . Теневой сервер . Проверено 28 апреля 2012 г.
  4. ^ Донохью, Брайан (29 марта 2012 г.). «Келихос возвращается: тот же ботнет или новая версия?» . Угрозапост . Архивировано из оригинала 4 апреля 2012 года . Проверено 28 апреля 2012 г.
  5. ^ Jump up to: а б Миллс, Элинор (27 сентября 2011 г.). «Microsoft останавливает еще один ботнет: Kelihos» . CNet . Проверено 28 апреля 2012 г.
  6. ^ Jump up to: а б Кирк, Джереми (1 февраля 2012 г.). «Ботнет Kelihos, когда-то поврежденный, теперь набирает силу» . Сетевой мир . Архивировано из оригинала 5 сентября 2012 года . Проверено 28 апреля 2012 г.
  7. ^ Jump up to: а б Константин, Лукиан (28 марта 2012 г.). «Охранные фирмы отключили второй ботнет Kelihos» . ПКМир . Проверено 28 апреля 2012 г.
  8. ^ Jump up to: а б Боскович, Ричард (27 сентября 2011 г.). «Microsoft нейтрализует ботнет Kelihos и называет фигуранта дела» . Microsoft TechNet . Проверено 28 апреля 2012 г.
  9. ^ Microsoft (26 сентября 2011 г.). «Операция b79 (Келихос) и дополнительный сентябрьский выпуск MSRT» . Майкрософт Технет . Проверено 28 апреля 2012 г.
  10. ^ Латиф, Лоуренс (27 октября 2011 г.). «Microsoft отказывается от обвинений в ботнете Kelihos против владельца интернет-провайдера» . Спрашивающий . Архивировано из оригинала 30 октября 2011 года . Проверено 28 апреля 2012 г. {{cite web}}: CS1 maint: неподходящий URL ( ссылка )
  11. ^ Jump up to: а б Гонсалвес, Антоне (24 января 2012 г.). «Microsoft утверждает, что бывший производитель антивирусов запустил ботнет» . Журнал CRN . Проверено 28 апреля 2012 г.
  12. ^ Уоррен, Том (29 марта 2012 г.). «Второй ботнет Kelihos уничтожен, 116 000 машин освобождены» . Грань . Проверено 28 апреля 2012 г.
  13. ^ Брюстер, Том (24 января 2012 г.). «Microsoft подозревает бывшего сотрудника антивируса в создании ботнета Kelihos» . ЭТО ПРОФЕССИОНАЛЬНО . Проверено 28 апреля 2012 г.
  14. ^ Кейзер, Грегг (24 января 2012 г.). «Обвиняемый создатель ботнета Kelihos работал на две охранные фирмы | ITworld» . ITмир . Проверено 28 апреля 2012 г.
  15. ^ Донохью, Брайан (28 марта 2012 г.). «Касперский снова вырубил ботнет Kelihos, но ожидает отдачи» . ThreatPost . Архивировано из оригинала 12 апреля 2012 года . Проверено 28 апреля 2012 г.
  16. ^ Jump up to: а б Рэйвуд, Дэн (2 апреля 2012 г.). «Исследователи CrowdStrike отрицают, что Келихос породил новую версию – SC Magazine UK» . Журнал СК . Проверено 29 апреля 2012 г.
  17. ^ Лейден, Джон (29 марта 2012 г.). «Зомби Келихоса вырываются из братских могил после резни в ботнете» . Регистр . Проверено 28 апреля 2012 г.
  18. ^ Новости SPAMfighter (13 апреля 2012 г.). «Ботнет Kelihos вновь появляется, на этот раз атакуя социальные сети» . СПАМфайтер . Проверено 28 апреля 2012 г.
  19. ^ http://www.abuseat.org [ нужна полная цитата ]
  20. ^ «Федералы выследили российского спамера с помощью его аккаунта iCloud» . Грань . Проверено 6 февраля 2018 г. .
  21. ^ Гриззард, Джулиан; Дэвид Дагон; Викрам Шарма; Крис Наннери; Брент Бён Хун Кан (3 апреля 2007 г.). «Одноранговые ботнеты: обзор и практический пример» . Лаборатория прикладной физики Университета Джонса Хопкинса . Проверено 28 апреля 2012 г.
  22. ^ SPAMfighter (5 апреля 2012 г.). «Компании по обеспечению безопасности уничтожили ботнет Kelihos версии 2» . СПАМфайтер . Проверено 28 апреля 2012 г.
  23. ^ Йоргенсон, Петра (6 апреля 2012 г.). «Ботнет Kelihos может возродиться из-за червя Facebook» . Средний инсайдер . Проверено 29 апреля 2012 г.
  24. ^ Арора, Арш; Ганнон, Макс; Уорнер, Гэри (15 мая 2017 г.). «Ботнет Kelihos: бесконечная сага» . Ежегодная конференция ADFSL по цифровой криминалистике, безопасности и праву .
  25. ^ Jump up to: а б «Российца, обвиняемого в создании спам-сети, экстрадировали в США» . Немецкая волна . 3 февраля 2018 года . Проверено 2 апреля 2019 г.
  26. ^ «Предполагаемый оператор ботнета Kelihos экстрадирован из Испании» . www.justice.gov . 2 февраля 2018 года . Проверено 3 февраля 2018 г.
  27. ^ Фаривар, Сайрус (13 сентября 2018 г.). «Россиянин признает себя виновным и признает, что управлял пресловутым ботнетом Kelihos» . АрсТехника . Проверено 2 апреля 2019 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Kelihos_botnet&oldid=1224179492"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: e4acffaf233b2486f5c7c1abb3da3e8a__1715874540
URL1:https://arc.ask3.ru/arc/aa/e4/8a/e4acffaf233b2486f5c7c1abb3da3e8a.html
Заголовок, (Title) документа по адресу, URL1:
Kelihos botnet - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)