Microsoft заблокировал 22 домена провайдера NO-IP, сорвав APT-операции киберпреступников

NO-IP – это один из многих провайдеров динамических DNS, с помощью которых можно бесплатно регистрировать поддомены в таких популярных доменах, как servepics.com и servebeer.com. В течение долгого времени это был любимый метод киберпреступников, которым нужно было без лишних проблем зарегистрировать поддомен для обновления имен хостов, чтобы контролировать вредоносные импланты на компьютерах-жертвах. Вчера Microsoft предпринял шаги против NO-IP и наложил арест на 22 домена, принадлежавших этой компании. Кроме того, Microsoft подал гражданский иск против «Мохамеда Бенабделлы и Насера Аль Мутаири, а также против американской компании VitalwerksInternetSolutions, LLC, ведущей бизнес под именем No-IP.com, за их участие в создании, контролировании и содействии в заражении миллионов компьютеров вредоносным ПО, из-за чего был нанесен ущерб компании Microsoft, её клиентам и в целом общественности».

Интересно, что Microsoft выделил два конкретных семейства зловредов: «Для заражения невинных жертв вредоносными программами семейств Bladabindi (NJrat) и Jenxcus (NJw0rm)». Заметим, что эти зловреды использовались многими группами киберпреступников и активистов, среди которых была и небезызвестная Сирийская электронная армия (Syrian Electronic Army), для выполнения атак на пользователей. Подробнее об этих атаках мы напишем в ближайшее время в отдельном блогпосте.

Блокирование этих ресурсов сорвало многие другие APT-операции, в которых использовались ресурсы NO-IP в качестве командной инфраструктуры. Вот их список:

• Flame/Miniflame
• Turla/Snake/Uroburos, включая Epic
• Cycldek
• Shiqiang
• Клиенты HackingTeam RCS
• Banechant
• Ladyoffice
• и т.д…

Судя по нашей статистике, отключение так или иначе повлияло на деятельность по крайней мере 25% APT-групп, которые мы отслеживаем. Некоторые из этих хостов ранее использовались в крупных и сложных операциях по кибершпионажу; теперь они все ведут на адрес 204.95.99.59 – по всей видимости, это адрес sinkhole-сервера, установленного Microsoft.

Вот неполный список доменов верхнего уровня, изъятых у Vitalwerks и теперь используемых в DNS-инфраструктуре Microsoft:

• BOUNCEME.NET
• MYFTP.BIZ
• MYVNC.COM
• NO-IP.BIZ
• NO-IP.INFO
• REDIRECTME.NET
• SERVEBEER.COM
• SERVEBLOG.NET
• SERVECOUNTERSTRIKE.COM
• SERVEGAME.COM
• SERVEHALFLIFE.COM
• SERVEHTTP.COM
• SERVEMP3.COM
• SERVEPICS.COM
• SERVEQUAKE.COM
• SYTES.NET

Тем временем компания NO-IP / Vitalwerks опубликовала онлайн свой ответ:

«По всей видимости, инфраструктура Microsoft не справляется с обработкой миллиардов запросов, поступающих от наших клиентов. Миллионы невинных пользователей испытывают на себе перебои в работе сервисов из-за попыток Microsoft блокировать хосты, которые ассоциируются с действиями нескольких злонамеренных субъектов».

Мы полагаем, что вчерашние события нанесли тяжелый удар по многим киберпреступным и APT-операциям по всему миру.

Надо полагать, что в будущем эти группы будут более осторожны при использовании провайдеров динамических DNS, и при управлении инфраструктурой своих командных серверов будут больше рассчитывать на взломанные веб-сайты и прямые IP-адреса.