США націлені на спам-ботнет після арешту росіян в Іспанії

ВАШИНГТОН ВАШИНГТОН (Reuters) - Міністерство юстиції США заявило в понеділок, що розпочало роботу щодо знищення ботнету Kelihos, глобальної мережі з десятків тисяч заражених комп'ютерів, за якою, як стверджується, експлуатується громадянином Росії, який був заарештований в Іспанії вихідні.

Петро Юрійович Левашов керував ботнетом Kelihos, який заражав комп’ютери під управлінням операційної системи Microsoft Corp Windows приблизно з 2010 року, повідомляє Міністерство юстиції.

Кримінальна справа проти Левашова Міністерством юстиції залишається під печаткою, але в понеділок департамент оголосив цивільну скаргу, спрямовану на блокування спаму з бот-мережі.

Російська державна медіа-служба RT повідомила, що Левашова взяли під варту в Іспанії на вихідних за американським ордером.

Не було відомо, чи був у Левашова адвокат. Посольство Росії у Вашингтоні не було відразу доступне для коментарів.

Левашов, якого довгий час вважали імовірною особистістю персони в Інтернеті, відомою як Пітер Севера, провів роки, ввівши до списку 10 найбільш плідних комп'ютерних спамерів від Spamhaus, групи з відстеження спаму.

RT цитувала дружину Левашова, яка заявила, що він був заарештований за звинуваченнями, пов'язаними з переконанням уряду США в тому, що Росія втрутилася у минулорічні вибори в США, щоб допомогти президенту Дональду Трампу перемогти. Росія заперечує втручання у вибори в США.

Чиновник Міністерства юстиції, який поспілкувався з журналістами на умовах анонімності, заявив у понеділок, що поточна акція проти ботнету не пов'язана з виборами.

Ботнет Kelihos є джерелом злочинної діяльності, спрямованої на користувачів комп'ютерів у всьому світі щонайменше з 2010 року, заявив чиновник.

Ботнет часом збільшився до 100 000 одночасно заражених пристроїв для здійснення різних спамових атак, включаючи схеми викачування запасів, викрадення паролів та ін'єкцію різних форм шкідливого програмного забезпечення, включаючи вимога, на цільові пристрої, сказав чиновник. Ботнети часто здають в оренду також для багаторазового використання.

З метою звільнення комп'ютерів "жертв" США отримали судові накази про вжиття заходів щодо нейтралізації ботнету Kelihos, включаючи створення замінних серверів та блокування команд, надісланих оператором ботнету, повідомили у відомстві.

Три попередні версії Kelihos були зняті, але кожен раз він міг відростати завдяки вдосконаленням, які робили його більш стійким.

Найбільшою проблемою було те, що в останніх ітераціях окремі заражені комп'ютери могли оновлювати один одного новим кодом, так що просто видалити кілька командних серверів було недостатньо.

Правоохоронні органи отримали технічну допомогу від приватної охоронної фірми CrowdStrike Inc в аналізі коду в міру його розвитку, і тамтешні аналітики виявили недолік у методі програми розповсюдження списків інших заражених машин для зв’язку.

"Ми змогли взяти на себе розповсюдження цього списку, тому заражені шкідливим програмним забезпеченням не змогли отримувати оновлення" один від одного, сказав Адам Мейерс, віце-президент з питань розвідки в CrowdStrike.

Операція "Келіхос" була першою цільовою ботнетом, яка використала нещодавню зміну судової норми, яка дозволяє Федеральному бюро розслідувань отримати єдиний ордер на обшук для віддаленого доступу до комп'ютерів, розташованих у будь-якій юрисдикції, можливо навіть за кордоном, заявив представник Міністерства юстиції. Раніше такі ордери могли застосовуватися лише в межах юрисдикції судді.

Такий ордер застосовувався через велику кількість юридичної обережності, заявив журналістам співробітник Міністерства юстиції, додавши, що дії "Келіхос" були подібні до попередніх, які влада США вживала для зриву інших ботнетів.

Комп'ютери жертв не потрапили у ФБР, а перенаправили на комп'ютер, керований правоохоронними органами, який часто називають "пробоїною", щоб перервати зв'язок між зараженими пристроями та оператором ботнету, сказав чиновник.

(Репортаж Дастіна Вольца, Джозефа Менна та Еріка Біка; редакція Лізи Шумакер та Г. Крос)