Архив новостей

Академики: зомби-компьютеров больше, чем принято считать

Глобальное исследование, проведенное командой из Делфтского технического университета, показало, что 5-10% домашних компьютеров, подключенных к интернету, являются активными участниками той или иной бот-сети.

Географический рейтинг по числу заражений, который составили голландцы, возглавляют Греция и Израиль. В этих странах инфицировано около 20% компьютерного парка, использующего широкополосную связь. В Великобритании, занявшей 19 место, данный показатель гораздо скромнее ― порядка 6%, что эквивалентно 1 млн. машин. Следует отметить, что в контрольный список были включены 40 стран, в том числе все участники ОЭСР. Бразилии и Индии, например, среди них нет, а Россия присутствует.

Большинство данных по заражениям были собраны со спам-ловушек (170 млн. IP-адресов, зафиксированных в 2005-09 гг.). Исследователи использовали также статистику по Kido за 2009 г. (169 млн. IP-адресов) и информацию о киберинцидентах той же давности, предоставленную компанией DShield (130 млн. адресов). Вполне ожидаемо данные из этих трех источников не совпали.

Каждый провинившийся IP-адрес был прослежен до конкретного интернет-провайдера в пределах географической выборки. Итоговая статистика оказалась весьма печальной: инфекция поразила сети 200 провайдеров, на долю которых приходится около 90% рынка, подвергнутого анализу. В Великобритании, например, практически не нашлось сетей, свободных от ботов. Нормализованные данные (с учетом величины абонентской базы и других общепринятых факторов) были представлены национальным регуляторам и интернет-провайдерам, для которых масштабы бедствия оказались большим сюрпризом.

Дело в том, сетуют академики, что в большинстве стран у интернет-провайдеров нет стимула регулярно заниматься сбором информации о заражениях в своем ведомстве. Все данные, которые публикуются на основании специализированных исследований, неточны, так как ботоводы никогда не задействуют весь наличный потенциал при проведении кибератак и спам-рассылок, да и состав ботнетов непостоянен. Чтобы определить истинные размеры бот-сети, нужно наблюдать ее деятельность в течение долгого времени, и в этом могла бы помочь, например, практика публичных отчетов об успехах борьбы с инфекцией на уровне интернет-провайдеров.

Успехи же эти, по словам голландцев, очень разные. Свыше 30 поставщиков интернет-услуг, уличенных в рассылке спама, включая 9 представителей ЕС, числились в Тор 50 по этому показателю на протяжении 4 лет. 26 интернет-провайдеров, из них 6 из стран ЕС, столько же времени безуспешно пытались выйти за пределы Тор 50 по засилью спамботов (числу заражений в масштабах абонентской базы). Более того, даже самые добросовестные интернет-провайдеры обнаруживают в своих сетях лишь малую часть зомби-компьютеров, и далеко не все их владельцы ставятся об этом в известность.

В Голландии, например, оповещения о заражении от интернет-провайдера получают менее 10% инфицированных, и то эта практика появилась лишь после введения в стране соответствующего Кодекса чести. Схожая ситуация наблюдается и во многих других странах. А в Финляндии, например, система оповещений о заражениях запущена в автоматическом режиме. Владельцы зомби-компьютеров получают 2 уведомления и при отсутствии ответной реакции временно отлучаются от Сети. В Германии и Японии работают специальные колл-центры, в которые направляют пользователей при обнаружении следов заражения. Им оказывают помощь в подборе антивируса и инструктируют, как провести очистку. В целом университетское исследование показало, что активное участие надзорных органов в борьбе с ботнетами положительно влияет на национальные показатели. Например, в странах, присоединившихся к Лондонскому плану действий, уровень заражения заметно ниже.

Академики: зомби-компьютеров больше, чем принято считать

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике