Отключив ботнет Citadel, Microsoft не только насолила злоумышленникам, воровавшим пароли к онлайн-банкам, но и вывела из строя серверы, применявшиеся исследователями из Швейцарии, сообщили они сами в своем блоге abuse.ch.
В результате совместной операции ФБР и Microsoft были захвачены больше 300 доменных имен, которые швейцарцы уже переадресовывали на несуществующие адреса с помощью sinkhole-серверов — специальных серверов DNS. По утверждению автора блога, в прошлом году Microsoft в ходе операции против ZeuS вместе с доменами ботнета тоже захватила несколько сотен доменов, перенаправлявшихся abuse.ch. Исследователи, по их словам, с помощью sinkhole-серверов собирают IP-адреса компьютеров, включенных в ботнет, и передают их провайдерам, чтобы те предупреждали своих абонентов.
Как пишет блогер, другие операторы sinkhole-серверов тожет жалуются на захват доменов корпорацией; всего, по оценкам исследователей abuse.ch, четверть из 4 тыс. доменов ботнета, выведенных из строя Microsoft, относятся к уже переадресуемым. Так как после подобных операций Microsoft операторы ботнетов принимают защитные меры, блогер abuse.ch приходит к выводу, что закрытие Citadel было не более чем «PR-кампанией, а реальных результатов не принесло».