Ботнет недоступен
Международные эксперты по компьютерной безопасности отключили сеть по рассылке спама Grum, еще недавно крупнейшую в интернете. Сервер спамеров зарегистрирован на российскую компанию, занимающуюся проектированием газовых котельныхО блокировке сети зараженных компьютеров (ботнет) Grum вчера объявил Атив Маштак, сотрудник лаборатории по исследованию вредоносного ПО компании FireEye, специализирующейся на информационной безопасности. Ботнет Grum появился в 2008 г., он специализировался на рассылке «фармацевтического» спама с рекламой медицинских препаратов (например, виагры или сеалекса), которые в США продают только по рецепту врача. По оценке компании M86Security, в июле компьютеры сети Grum разослали 17,4% всего спама в интернете – больше отправили только ботнеты Cutwail и Lethic. Однако еще в январе 2012 г. Grum рассылала треть всего спама в интернете и была крупнейшим спам-ботнетом в мире.
По инициативе FireEye, антивирусной организации SpamHaus, российской CERT-GIB (входит в Group-IB) и анонимного исследователя Nova 7 недавно удалось заблокировать управляющие серверы ботнета в Нидерландах и Панаме. Но злоумышленники сразу же запустили серверы на Украине и в России. Это говорит о том, что создатели ботнета скорее всего россияне или украинцы, рассуждает представитель Group-IB Богдан Вовченко. Новые серверы на днях тоже удалось отключить и число ежедневно рассылающих спам компьютеров Grum упало со 120 000 до 21 505, оценивают специалисты Spamhaus.
Сложнее всего было отключить управляющий сервер Grum в России, пишет в своем блоге Маштак из FireEye. Вовченко говорит, что российский управляющий сервер Grum работал из подсети, зарегистрированной на псковское ООО «Газинвестпроект». Эта компания игнорирует любые жалобы, когда к ней обращаются с требованиями прекратить рассылку спама, говорит Вовченко. В результате пришлось обратиться к ее интернет-провайдеру, чтобы отключить сервер. «Первый раз об этом слышу», – заявил «Ведомостям» директор «Газинвестпроекта» Владимир Скурятин. «Мы проектируем газовые котельные», – добавил он. Другой представитель «Газинвестпроекта» сказал, что в компании есть четыре персональных электронных адреса – и предложил отправить с них тестовые письма «Ведомостям», чтобы показать, что компания рассылает не спам.
Вовченко из Group-IB уточняет: злоумышленники могли арендовать подсеть на «Газинвестпроекте» по поддельным документам и без ведома компании. По его словам, о победе над Grum говорить еще рано, пока лишь удалось заблокировать управляющие серверы, а создатели ботнета по-прежнему на свободе.