Ботнет HLUX уже не первый раз появляется в нашем блоге. При этом остаются открытыми вопросы, которые нам регулярно задают СМИ. Чем занимается этот ботнет? Какие команды получает от злоумышленников? Как распространяется бот? Сколько зараженных компьютеров входит в ботнет? Но прежде чем начать отвечать на данные вопросы, еще раз отметим, что речь здесь идет о новом ботнете HLUX. Старый ботнет заблокирован и до сих пор не получает команды от злоумышленников и не рассылает спам. «Лаборатория Касперского» вместе с Microsoft’s Digital Crimes Unit, SurfNET и Kyrus Tech отключила ботнет и его инфраструктуру. Результаты анализа новой версии бота ботнета HLUX (md5: 010AC0BFF69EB945108B57B40A4784BE, размер: 882176 B) приведены ниже.

Зачем?

Как известно, функционал бота — рассылка спама и возможность проведения DDoS атак. Мы обнаружили, что помимо этого:

1. Бот умеет заражать флешки, создавая на них файлы «Copy of Shortcut to google.lnk» а ля stuxnet.
2. Бот умеет искать конфигурационные файлы для множества FTP-клиентов и передавать их на серверы управления.
3. В боте встроен функционал кражи Bitcoin кошелька.
4. В боте встроен функционал Bitcoin miner’a.
5. Бот умеет работать в режиме прокси-сервера.
6. Бот ищет на диске файлы, содержащие адреса электронной почты.
7. Бот имеет сниффер для перехвата паролей от электронной почты, FTP и HTTP сессий.

Часть кода работы HLUX с FTP клиентами

Часть кода работы HLUX по краже Bitcoin кошелька

Откуда?

Бот загружается на компьютеры пользователей со множества сайтов, расположенных на fast-flux доменах преимущественно в доменной зоне .EU. В систему бот устанавливается маленькими (~47КБ) даунлоадерами. Загрузки таких даунлоадеров зафиксированы на компьютеры в ботнетах GBOT и Virut. При этом даунлоадер может загружаться на компьютеры уже через несколько минут после того, как машины были заражены вышеперечисленными вредоносными программами (GBOT и Virut). Такой механизм распространения препятствует обнаружению первоисточника распространения бота.

Также зафиксированы установки бота в ходе Drive-by атак с помощью Incognito Exploit Kit.

Общее количество компьютеров, входящих в новый ботнет HLUX, оценивается в несколько десятков тысяч машин — исходя из цифры в ~8000 IP-адресов, замеченных в работе через p2p.

Куда?

Сейчас ботнет HLUX по-прежнему получает в основном команды на рассылку спама. Однако в то же время на ботнет устанавливается еще одна вредоносная программа, о которой мы писали здесь. Основной её функционал –мошеннические действия с поисковыми системами а ля TDSS.

Собранные HLUX пароли от FTP используются для размещения на сайтах вредоносных JavaScript’ов, перенаправляющих посетителей взломанных сайтов опять же на Incognito Exploit Kit. В этих атаках при установке бота используются, в основном, эксплойты к уязвимости CVE-2011-3544. Таким образом, HLUX реализует замкнутую схему распространения, аналогичную схеме, используемой Bredol.

Итого

Ботнет Hlux, как старый, так и новый, является ярким примером организации преступной деятельности в интернете. Владельцы данного ботнета участвуют практически во всех мошеннических схемах заработка: рассылка спама, кража паролей, мошенничество с поисковыми системами, DDоS и т.д. Мы продолжим наблюдение за данным ботнетом и будем держать вас в курсе технической стороны дела.

PS. На одном fast-flux домене, с которого раньше распространялся HLUX, мы обнаружили следующее.

Является ли это панелью управления ботнетом HLUX, пока неизвестно.

Окружной суд штата Мичиган приговорил к 2-м годам лишения свободы биржевого маклера, оказывавшего профессиональные услуги преступной группировке Алана Ральски. Мошенники с помощью спама завышали котировки неликвидных акций, а затем выгодно сбывали их обманутым инвесторам (схема «накачка-сброс»).

Согласно материалам дела, Грег Берджер (Gregg Berger) снабжал своих нанимателей закрытой информацией, помогал им обойти биржевые ограничения на фондовом рынке и через подставные компании имитировал бурные торги, чтобы убедить перспективных инвесторов в целесообразности капиталовложений. Благодаря его участию Ральски и Ко незаконно выкачали из американских карманов свыше 30 млн. долл. Вознаграждение Берджера суммарно составило 600 тыс. долл.

Продажного брокера удалось выявить и привлечь к суду лишь через год после вынесения приговора ее основным функционерам. По выходе из пенитенциарного заведения пособник спамеров проведет 3 года под надзором. Все капиталы, нажитые противозаконными методами, ему придется отдать государству.

Произошло долгожданное событие: в США вынесен окончательный приговор каждому из участников интернациональной группировки, которой руководил «король спама» Алан Ральски (Alan Ralsky).

Подельники брали «на реализацию» мелкие акции безвестных китайских компаний, добивались повышения спроса (и курса) с помощью рекламных спам-рассылок и продавали акции с выгодой для себя — до того, как наступит неизменное падение цен. Одно время эта схема пользовалась большой популярностью у сетевых мошенников и называлась «накачка-сброс».

Дело «биржевых» спамеров, объединившихся под руководством самозваного «крестного отца», было взято в судопроизводство два года назад. Участников группировки обвинили в преступном сговоре, проведении масштабных спам-рассылок, мошенничестве с использованием средств электронной, почтовой и проводной связи, а также в отмывании денег. Назначенные федеральным судом Детройта меры пресечения учитывают те функции, которые выполняли сообщники Ральски в реализации мошеннической схемы.

Решением суда приговорены:

• 64-летний главарь Алан Ральски — к 4 годам и 3 месяцам тюремного заключения, 5 годам под надзором и конфискации неправедно нажитых 250 тыс. долларов;
• Скотт Брэдли (Scott Bradley), его зять, «правая рука», финансовый директор и руководитель всех спамерских операций, – к 3 годам и 4 месяцам тюремного заключения, 5 годам под надзором и конфискации 250 тыс. долларов;
• Хау Вай Джон Хуэй (How Wai John Hui), гражданин Гонконга и Канады, главный специалист по заключению сделок, — к 4 годам и 3 месяцам тюремного заключения, 3 годам под надзором и конфискации 500 тыс. долларов;
• Джон Баун (John Bown), главный технический директор и оператор ботнета, с которого проводились рассылки, — к 2 годам и 8 месяцам тюремного заключения, 3 годам под надзором и конфискации 120 тыс. долларов;
• Фрэнк Триббл (Frank Tribble), главный «брокер» и дирижер цикла «накачка-сброс», — к 4 годам и 3 месяцам тюремного заключения, 5 годам под надзором и конфискации 500 тыс. долларов;
• Джуди Дивиноу (Judy Devenow), «менеджер» по спам-рассылкам, — к 1,5 годам тюремного заключения, 3 годам под надзором и штрафу в размере 7,5 тыс. долларов;
• Уильям Нил (William Neil), сетевой администратор, — к 2 годам и 11 месяцам тюремного заключения, 3 годам под надзором и конфискации 56 тыс. долларов;
• Джеймс Брэгг (James Bragg) и Джеймс Файт (James Fite), наемные спамеры, — к 1 году и 1 дню тюремного заключения, 3 годам под надзором и конфискации 120 и 20 тыс. долларов соответственно;
• Дэвид Пэттон (David Patton), производитель и поставщик специализированного ПО для рассылки спама, — к одному дню тюремного заключения, 1 году под надзором, конфискации 50,1 тыс. долларов и штрафу в размере 3 тыс. долларов.

В деле фигурируют еще два ответчика — Энки Нил (Anki Neil) и россиянин Питер Севера (Peter Severa), имя которого значится в списке наиболее агрессивных спамеров, публикуемом Spamhaus. Их вина пока не доказана, — видимо, за отсутствием самих фигурантов.

Спецподразделения полиции Нигерии заблокировали свыше 800 почтовых аккаунтов и произвели 18 арестов в рамках новой инициативы по борьбе с мошенничеством и коррупцией на территории страны.

Проект Eagle Claw, осуществляемый нигерийской Комиссией по борьбе с экономическими преступлениями (Economic and Financial Crimes Commission, EFCC) совместно с компанией Microsoft, предусматривает внедрение специализированной программы мониторинга мошеннической деятельности в почтовом сервисе. Новая технология позволяет отслеживать мошеннические сообщения, нейтрализовать их источники и оповещать потенциальные жертвы об угрозе.

Пробная версия программы запущена на территории Нигерии в начале июня. До этого местные правоохранительные органы пытались выявить «нигерийских» и прочих кибермошенников, полагаясь на результаты облав в интернет-кафе или жалобы пользователей. Новая схема заработает в полную силу через полгода и, по предварительной оценке, будет защищать от сетей мошенников около четверти миллиона пользователей.