Как CrowdStrike увел ботнет Kelihos

Тиллманн Вернер (Tillmann Werner), старший научный сотрудник компании CrowdStrike, совершил атаку на ботнет Kelihos в рамках конференции RSA в Сан-Франциско, на которой демонстрировались методы, используемые для борьбы с киберпреступлениями.

Он задействовал систему обмена сообщениями, которая используется для управления компьютерами, находящимися под управлением ботнета. Вернер создал поддельный C&C сервер и заставил ботов подключиться к нему. По словам эксперта, это было сделано, якобы, для защиты компьютеров.

На всякий случай ИБ-эксперт создал «черный список» серверов, контролируемых авторами Kelihos, и заблокировал доступ зараженных компьютеров к этим серверам.

Во время конференции Вернер на большом мониторе продемонстрировал появление красных точек на карте, что символизировало подключение новых ботов к его C&C серверу. Через несколько часов, по словам ИБ-эксперта, десятки тысяч зараженных компьютеров присоединились к серверу CrowdStrike.

Напомним, что основными задачами одной из самых больших ботсетей Kelihos являются хищение паролей, рассылка спама, кража учетных данных FTP-клиентов и данных BitCoin. Таким образом, небольшой стартап CrowdStrike обзавелся огромной вычислительной мощностью десятков тысяч компьютеров, что может позволить компании зарабатывать деньги, генерируя BitCoin, рассылая спам и пр.