В результате корпорация получила от американского суда санкцию на уничтожение ботнета, который был обнаружен в процессе расследования, проведенного ее специалистами в Китае.
В Microsoft переключили трафик для домена 3322.org на свои собственные серверы DNS в целях избирательного блокирования соединений зараженных ПК с управляющими серверами Nitol.
Корпорация также блокировала доступ примерно к 70 тыс. поддоменам домена 3322.org, распространяющим вердоносные программы. Сам он принадлежит китайской компании веб-хостинга. Остальные субдомены 3322.org продолжают обслуживание пользователей в нормальном режиме.
Данная тактика блокировки носит название sinkholing — «дренаж» или «слив». Корпорация уже пользовалась ею ранее для прекращения деятельности ботнетов, последний раз в марте, когда были разрушены сети, основанные на хакерском инструментарии Zeus. Однако избирательное блокирование поддоменов в головном домене применяется корпорацией впервые.
«Мы всегда следим, чтобы не было побочного ущерба, — утверждает Ричард Боскович, старший юрист подразделения Microsoft по киберпреступлениям. — В 3322.org примерно 2,5- 2,75 млн поддоменов, но дренажу были подвергнуты только 70 тыс. поддоменов с вредоносными программами. Остальные домены будут по-прежнему доступны».
Обычно при дренаже весь трафик из вредоносного домена отводится к иному пункту назначения, в результате чего доступ к этому домену оказывается закрытым для всех.
В Microsoft спецоперацию по закрытию ботнета назвали b70. Техническую поддержку в ее проведении оказывала компания Nominum, предоставившая свое программное обеспечение DNS.
«Это было самое настоящее хирургическое вмешательство, — считает Крейг Спростс, генеральный менеджер Nominum. — Microsoft взяла под свой контроль домен 3322.org и, по сути, создала обходной канал доступа к 'хорошим' доменам, заблокировав 'плохие'».
Задача дренажа домена 3322.org с его миллионами поддоменов оказалась технически сложной, подчеркивают Спростс и его коллега Дэниел Блейзингейм, менеджер по встроенным решениям Nominum.
«Для Microsoft необходима была возможность оперативно менять список плохих и хороших поддоменов — эта задача дополнительно усложнила операцию», — добавил Блейзингейм.
Весь трафик DNS между пользователями, доменом 3322.org и его поддоменами теперь проходит через серверы Nominum, установленные в центрах обработки данных Microsoft, объяснил Спростс.
«В Microsoft нам сообщили, что по объему трафика это самый большой ботнет, с которым корпорации приходилось иметь дело до сих пор, — говорит Блейзингейм. — По их словам, это поистине исполинский объем DNS-запросов».
Позиция Microsoft по домену 3322.org до конца не ясна. В жалобе, поданной 10 сентября в федеральный суд Вирджинии, корпорация назвала домен «крупнейшим центром нелегальной интернет-активности, которым преступники непрерывно пользуются для рассылки вирусов и команд на компьютеры ничего не подозревающих людей во всем мире».
Боскович, однако, не уверен в виновности Пэн Юна, владельца основного домена: «Мы обратились к нему не только чтобы уведомить о жалобе в суд, но и с просьбой о содействии».
В интервью Associated Press Пэн отверг все подозрения в свой адрес, заявив, что в его компании категорически не приемлют незаконного использования домена.
Однако специалисты по безопасности уже давно называют 3322.org пристанищем вредоносных сайтов, используемым злоумышленниками в качестве «пуленепробиваемого» хостинга, так как считалось, что его невозможно закрыть.
В компании Zcaler, например, подсчитали, что на долю 3322.org приходилось 17% общемирового трафика вредоносных URL, а по оценкам «Лаборатории Касперского», в тот или иной момент с доменом связывались 40% всех существующих на сегодня вредоносных программ.
«Этот домен относится к числу доменов, которые наиболее часто используются вирусами семейства Nitol для связи со своими управляющими серверами», — утверждает Пол Дакин из Sophos.
В Microsoft обнаружили Nitol на новых ПК в прошлом году, когда подчиненные Босковича приобрели 20 новых настольных компьютеров и ноутбуков в Китае. На всех этих устройствах оказались контрафактные копии Windows XP или 7.
На четырех компьютерах присутствовали вирусы. На трех они бездействовали, а на четвертом бот сразу же подключился к управляющему серверу Nitol для получения команд.
В Microsoft не случайно вышли на инфицированные ПК.
«Мы постоянно изучаем различные пути заражения компьютеров, и всегда подозревали, что есть возможность инфекции через нелегальные копии операционных систем, — поясняет Боскович. — Мы пытались выяснить, насколько все далеко зашло в этом плане, ведь люди становятся более осведомленными о безопасности, а преступники ищут все новые пути организации атак. Мы слышали о случаях внедрения вредоносных программ еще в цепочке поставок, но я был несколько удивлен тем, как быстро нам удалось наткнуться на зараженные компьютеры».
Microsoft уже давно предупреждает о том, что нелегальными копиями Windows пользоваться опасно, но многие считают, что в корпорации делают это только ради защиты интересов своего бизнеса.
«Важно понимать, что контрафактное ПО — это прежде всего проблема интеллектуальной собственности, — считает Боскович. — Но в конечном счете она может затрагивать не только правообладателя, но и пользователей».
В Microsoft не смогли выяснить, на каком именно участке цепочки поставок были установлены вирусы, но предполагают, что это произошло на этапе инсталляции Windows розничным продавцом.
Вряд ли вирус «подсадили» еще на фабрике, где собирались ПК, полагает Боскович. По его словам, марки некоторых из инфицированных компьютеров знакомы жителям западных стран, но назвать конкретные бренды он отказался.
«В Китае большинство ПК поставляются сборщиками с DOS, а более современные операционные системы устанавливаются перед продажей, — объясняет Боскович. — На каком-то звене цепочки поставок устанавливается Windows. Криминальные элементы нашли способ компрометировать компьютеры с использованием незащищенности цепочки поставок, в результате чего потребители оказались под угрозой».
Nitol — это не новый вирус, впервые он был обнаружен еще в 2008 году. Но с тех пор появились десятки тысяч его новых вариантов, из которых, по выражению специалистов Sophos, была «сплетена самая настоящая паутина киберпреступности».
По словам Босковича, в Microsoft хотят, чтобы Пэн назвал лиц, зарегистрировавших командные домены Nitol, а также владельцев 70 тыс. поддоменов, в которых осуществлялся хостинг вредоносного ПО. Однако корпорации пока не удалось связаться с хозяином 3322.org. Список IP-адресов компьютеров, зараженных ботом, будет передан в центры компьютерных чрезвычайных ситуаций (CERT) соответствующих стран, чтобы пользователи могли получить помощь с очисткой систем от вируса.
Тактика «хирургического дренажа» стала, возможно, самым важным элементом операции b70, считает Спростс: «В компаниях 'пуленепробиваемого' хостинга рассчитывают на то, что их домен не смогут закрыть, чтобы не пострадали легальные пользователи хостинга. Но теперь создан прецедент, демонстрирующий подобным дельцам, что их иммунитет не такой уж надежный».
Поскольку Microsoft и другие теперь имеют возможность ограничивать побочный ущерб, суды станут более благосклонно относиться к запросам о закрытии и дренаже, полагает он: «Судьи будут знать, что теперь дренаж — это хирургический инструмент, а не метод грубой силы».