Ботнет недоступен

О блокировке сети зараженных компьютеров (ботнет) Grum вчера объявил Атив Маштак, сотрудник лаборатории по исследованию вредоносного ПО компании FireEye, специализирующейся на информационной безопасности. Ботнет Grum появился в 2008 г., он специализировался на рассылке «фармацевтического» спама с рекламой медицинских препаратов (например, виагры или сеалекса), которые в США продают только по рецепту врача. По оценке компании M86Security, в июле компьютеры сети Grum разослали 17,4% всего спама в интернете – больше отправили только ботнеты Cutwail и Lethic. Однако еще в январе 2012 г. Grum рассылала треть всего спама в интернете и была крупнейшим спам-ботнетом в мире.

По инициативе FireEye, антивирусной организации SpamHaus, российской CERT-GIB (входит в Group-IB) и анонимного исследователя Nova 7 недавно удалось заблокировать управляющие серверы ботнета в Нидерландах и Панаме. Но злоумышленники сразу же запустили серверы на Украине и в России. Это говорит о том, что создатели ботнета скорее всего россияне или украинцы, рассуждает представитель Group-IB Богдан Вовченко. Новые серверы на днях тоже удалось отключить и число ежедневно рассылающих спам компьютеров Grum упало со 120 000 до 21 505, оценивают специалисты Spamhaus.

Сложнее всего было отключить управляющий сервер Grum в России, пишет в своем блоге Маштак из FireEye. Вовченко говорит, что российский управляющий сервер Grum работал из подсети, зарегистрированной на псковское ООО «Газинвестпроект». Эта компания игнорирует любые жалобы, когда к ней обращаются с требованиями прекратить рассылку спама, говорит Вовченко. В результате пришлось обратиться к ее интернет-провайдеру, чтобы отключить сервер. «Первый раз об этом слышу», – заявил «Ведомостям» директор «Газинвестпроекта» Владимир Скурятин. «Мы проектируем газовые котельные», – добавил он. Другой представитель «Газинвестпроекта» сказал, что в компании есть четыре персональных электронных адреса – и предложил отправить с них тестовые письма «Ведомостям», чтобы показать, что компания рассылает не спам.

Вовченко из Group-IB уточняет: злоумышленники могли арендовать подсеть на «Газинвестпроекте» по поддельным документам и без ведома компании. По его словам, о победе над Grum говорить еще рано, пока лишь удалось заблокировать управляющие серверы, а создатели ботнета по-прежнему на свободе.