Сотрудники Департамента киберполиции Национальной полиции Украины совместно с CERT-Bund и экспертами компаний ESET и Cys Centrum ликвидировали спам-ботнет Linux/Mumblehard, который продолжительное время функционировал на территории Украины


Как сообщается на официальном сайте киберполиции, на территории Украины продолжительное время функционировал управляющий сервер вредоносного ПО, координирующего рассылку спама с помощью скомпрометированных серверов частных украинских и зарубежных компаний.

Количество зараженных Linux/Mumblehard серверов с течением времени изменялось, и по состоянию на март 2016 года в 63 странах мира их насчитывалось порядка 4 тысячи (33 находились на территории Украины). В зоне риска оказывались серверы общего хостинга, на которых размещался один или несколько зараженных вредоносным ПО сайтов под управлением Joomla.

Бэкдоры на серверах позволяли злоумышленникам удаленно выполнять команды, получать несанкционированный доступ к обрабатываемым данным, использовать вычислительные ресурсы и рассылать нежелательные электронные письма. Действия киберпреступников неоднократно приводили к перебоям в работе серверов и утечке информации, а также причинили материальный и репутационный ущерб.

Киберполиция сообщила, что управляющий сервер ботнета, за которым стоят киберпреступники из России, был обнаружен в южных регионах Украины. Руководители 33 украинских компаний были проинформированы об инциденте и написали соответствующие заявления в полицию с указанием размера причиненного ущерба. Управляющий сервер ботнета был отключен, а вредоносное ПО удалено со взломанных серверов.

в тему: ПОЧЕМУ НЕ СТОИТ ДОВЕРЯТЬ ДЕШЕВЫМ ВЕБ-КАМЕРАМ

По словам начальника Департамента киберполиции Сергея Демедюка, до последнего времени хакерам удавалось улизнуть в ходе подобных операций. Сначала на оккупированные территории, а потом в Россию, как только они узнавали о начале действий правоохранителей. Но в этот раз сбежать не успели. “Мы учли все наши ошибки”, – подчеркнул он.

При проведении операции, по словам начальника киберполиции, помогали украинские интернет-провайдеры. Без их содействия обезвредить спамеров было бы очень сложно.

Не на все наши запросы они реагируют. Но по этому делу откликнулись почти все”, – подчеркнул Демедюк.

Участникам операции надо было в оперативном режиме получать доступ к их сетям при поиске устройств подозреваемых. На заключительных этапах операции к работе подключились и немецкие коллеги из центра компьютерных угроз CERT-Bund.

В результате проведенной операции никто не пострадал: сервера из дата-центров не выносились, предоставление услуг прервано не было”, – сообщает CyS Centrum.

Руководитель этой компании Николай Коваль говорит, что это был один из первых случаев плодотворного сотрудничества между иностранной антивирусной компанией, иностранным CERTом, локальным правоохранительным органом, частной компанией и провайдером телекоммуникаций.

Большинство рассылаемого через бот-сеть спама группировка Mumblehard направляла на продвижение фиктивных канадских фармацевтических сайтов, выяснила Eset. Речь может идти о группировке Canadian Pharmacy. Также вероятно, что закрытая в Украине бот-сеть могла быть каналом сбыта компании Yellsoft, которая продает софт для рассылки электронных писем DirectMailer и имеет те же самые IP адреса, что и бот-сеть.