ZeuS Tracker отключил 9 российских “пуленепробиваемых” хостеров
При активном участии эксперта по кибербезопасности Романа Хюссе в этом месяце удалось отключить 9 "пуленепробиваемых" российских автономных систем, в которых нашли пристанище десятки контролирующих центров ZeuS-ботнетов. Кроме того, в январе были отключены ещё 5 украинских "пуленепробиваемых" хостеров.
Хюссе специализируется на ZeuS-ботнетах: его сервис ZeuS-трекер известен по всему миру. В марте прошлого года в поле зрения Хюссе попал хостинг-провайдер VLine Telecom (AS31500), который начал предоставлять услуги неким лицам, использовавшим мощности провайдера для размещения центров управления ZeuS-ботнетами.
По каждой из этих AS имеется весьма неприглядная запись в Spamhaus. Репутация Spamhaus далеко не безупречна, здесь порой заносят в чёрные списки целые страны, однако от деятельности этой организации бывает и положительный эффект. Так случилось и на этот раз, после того как в конце ноября минувшего года Spamhaus занёс в черные списки питерский GlobalNet. VLine Telecom в то время подключался к Сети именно через этого провайдера.
Вполне естественно, что в GlobalNet зашевелились. Хюссе также вышел на контакт с питерцами в декабре; по его словам, GlobalNet сперва отказался отключать VLine Telecom, ссылаясь на российские законы, однако, изучив предоставленные швейцарским экспертом улики, заблокировал нехорошие IP-адреса.
В конце декабря, когда выяснилось, что VLine Telecom не принимает никаких мер, в том числе профилактических, в отношении центров управления ботнетами, GlobalNet по просьбе Хюссе надавил на этого провайдера. В результате VLine Telecom отключил одного из "пуленепробиваемых" хостеров.
Победу, однако, праздновать было рано. В начале января VLine Telecom внезапно ушёл от GlobalNet к Федеральной университетской компьютерной сети России RUNNet вместе со всеми низлежащими преступными хостерами. Кроме того, VLine Telecom вышел на связь с Хюссе и попросил впредь обращаться к нему напрямую со всеми подобными жалобами.
Хюссе "решил дать им шанс" и приложил к ответному письму подробный список всех нарушителей с описанием их деятельности. VLine Telecom тут же отреагировал, заверив швейцарца, что все 9 нарушителей отключены от Сети. Как выяснилось через несколько часов, в действительности эти сети перестали быть видны с IP-адреса Хюссе, а кроме того, ими блокировался и трафик с ZeuS Tracker.
Тогда Хюссе, по его признанию, разозлился и вышел на связь с RUNNet. Там за один час вникли в ситуацию и прекратили транзитить VLine Telecom. А ещё через 4 минуты VLine Telecom написал в RUNNet и Хюссе о перекрытии кислорода всем 9 проблемным автономным системам.
В настоящий момент VLine Telecom опять подключился к GlobalNet, при этом, по данным Хюссе на 22 января, ни один из 9 "пуленепробиваемых" хостинг-провайдеров не поднялся. Эксперт считает это серьёзным успехом, хотя и уверен, что в действительности VLine Telecom также следовало наказать полным отключением.
Он, правда, отмечает, что, по его ощущениям, в VLine Telecom иногда "не знали, что они делали (с технической точки зрения), и... не понимали, что я хотел им сказать (языковая проблема)". В то же время Хюссе выражает благодарность GlobalNet и RUNNet и — наполовину в шутку, наполовину всерьёз — заявляет, что главным уроком, который он вынес из этой истории, является осознание того, что "не каждый русскоговорящий парень — киберпреступник".
www.securitylab.ru