«Бабочка»-голиаф

Эксперты американской компании Unveillance, специализирующейся на SaaS-защите от утечек данных, с тревогой наблюдают безудержный рост одного из ботнетов, сформированных на основе Palevo. По их оценке, его размеры уже побили рекорд печально известного ботнета Mariposa.

Как оказалось, ареал обитания Metulji (словенск. «бабочка») охватывает 172 страны мира, включая США, Россию, Бразилию, Китай, Великобританию, Индию и Иран. В число его жертв входят как бизнес-структуры, так и индивидуальные пользователи. Данный ботнет используется, в основном, для кражи финансовой информации и других персональных данных. Он был создан с помощью того же комплекта инструментов, который использовали операторы Mariposa (исп. «бабочка»), арестованные в прошлом году в Испании.

В настоящее время специалисты Unveillance, среди которых много тех, кто участвовал в разоблачении испанской «бабочки», вместе с экспертами Panda Security занимаются подсчетом резидентных ботов Metulji и изучением обновленного кода Palevo. Как удалось установить, новая версия червя-полиморфика присутствует в Сети как минимум с 2007 года. Он стал более могучим и научился лучше скрываться от обнаружения. На настоящий момент исследователи обнаружили несколько тысяч уникальных вариантов Palevo, ассоциированных с новым ботнетом.

По счастью, обновленный тулкит для построения ботнета работает по той же модели учета лицензионных копий, которая в свое время помогла выявить операторов Mariposa и арестовать его авторов. Сработала она и на этот раз. В начале июня в сербской Боснии были задержаны некие Алёша Боркович (Aljoša Borković) и Дарко Малинич (Darko Malinić). Их арест был осуществлен в рамках международного расследования, которое под кодовым наименованием «Operation Hive» (операция «Пчелиный рой») проводят ФБР, Интерпол, министерство внутренних дел Сербии и полиция Словении.

Молодые люди попали под подозрение как создатели и операторы Metulji, тем более что Боркович использовал свое настоящее имя и личный email при регистрации доменов, задействованных в управлении ботнетом. Несмотря на то, что его выдающиеся «успехи» в программировании известны даже ФБР и юнца уже арестовывали за киберпрегрешения, он легкомысленно сорил деньгами, украденными с помощью Palevo, обзавелся шикарным жильем и приобрел два дорогих авто.

При обыске у братьев-славян изъяли компьютерное оборудование и незарегистрированное оружие. Несколько доменов, связанных с командной инфраструктурой Metulji, удалось заблокировать, но другие пока активны и продолжают участвовать в сборе пользовательской информации. По словам экспертов, их нейтрализация ― тяжкий труд, так как все они зарегистрированы в Китае и России, а эти страны обычно глухи к запросам зарубежных коллег в аналогичных ситуациях. По данным Palevo Tracker, в настоящее время в интернете числится больше сотни активных C&C серверов, управляющих этим червем. В Рунете они сосредоточены в сетях «Вилайн Телеком» (AS39150), ОАО Вебальта (AS41947) и YabaMedia (AS49097).