В ночь с 12 на 13 ноября британский интернет-провайдер Coreix отключил от Сети три сервера, непосредственно связанные с управлением ботнета Koobface.
По данным [PDF 1,97 Мб] канадского исследовательского альянса Information Warfare Monitor, один из этих серверов содержал базу данных об инфраструктуре ботнета и выполнял основные C&C функции. Второй осуществлял мониторинг активности и взаимодействия в пределах ботсети. Третий сервер использовался злоумышленниками для учета доходов от участия в партнерских программах. Повелители Koobface (в классификации ЛК Net-Worm.Win32.Koobface) кормятся, в основном, за счет накрутки рейтинга рекламных сайтов и распространения ложных антивирусов. За последний год они заработали на этом свыше 2 млн. долларов.
Вывод из строя британских серверов Koobface подвел итог восьмимесячному исследованию, проведенному участниками Information Warfare Monitor — Университетом Торонто и компанией SecDev Group из Оттавы. Своими находками они поделились с канадской полицией, ФБР и британскими властями. Были также поставлены в известность соответствующие интернет-провайдеры, владельцы социальных сетей и веб-сервисов, вовлеченных в деятельность Koobface. На командном сервере ботнета было обнаружено свыше 500 тыс. поддельных учетных записей Google Blogspot и Gmail, а также около 22 тысяч профилей, созданных червем на Facebook.
По словам исследователей, победа над Koobface будет, скорее всего, кратковременной. Его ботнет имеет иерархическую C&C структуру, которая реализована через разветвленную сеть прокси-серверов, связывающих боты с центрами управления. Помимо обезвреженных серверов, в нее входят резервный веб-сервер, репозитории для украденной информации (ftp-, im- и email-идентификаторы) и система учета заражений. Неотъемлемой частью инфраструктуры ботнета являются фальшивые страницы YouTube с редиректом на зараженный источник, созданные на Bit.ly и Google Blogspot.
Все многочисленные и жизненно важные узлы ботнета размещены на территории разных стран, что сильно затрудняет его ликвидацию. Не секрет, что успех таких трансграничных операций в большой мере зависит от согласованности действий всех заинтересованных сторон. Отсутствие адекватных национальных законодательств и межгосударственных соглашений о сотрудничестве в этой области, как правило, сильно осложняет задачу. В данном случае одним из участников интернационального противостояния (если его удастся организовать) может оказаться Россия. По свидетельству канадцев, ежедневные отчеты о доходах от деятельности Koobface отправлялись по SMS-каналам на 4 российских номера. Александр Гостев, эксперт Лаборатории Касперского, уточнил предположение о причастности россиян к созданию данного ботнета, подчеркнув, что за Koobface стоят не только русские, но и русскоязычные киберпреступники.
Koobface потерял три ключевых сервера