Полиция арестовала операторов крупнейшего китайского ботнета.
Сотрудники китайских правоохранительных органов пресекли деятельность и арестовали участников киберпреступной группировки, управляющей DDoS-ботнетом из 200 тыс. инфицированных сайтов. Операция является первым серьезным шагом властей Китая в борьбе с впечатляющим местным рынком DDoS-услуг, пишет ZDNet.
После публикации в 2016 году исходного кода IoT-ботнета Mirai, китайские киберпреступники стали активно создавать на его основе новые ботнеты и сдавать их в аренду за деньги. В 2017 году специалисты Cisco Talos зафиксировали резкий всплеск числа китайских сервисов, предлагающих услуги по осуществлению DDoS-атак. Исследователи обвиняли правоохранительные органы КНР в бездействии и нежелании предпринимать какие-либо меры по борьбе со стремительно растущим рынком DDoS-сервисов.
В настоящее время китайские DDoS’еры существенно расширили свои горизонты и помимо IoT-устройств и Mirai стали использовать другие ресурсы. К примеру, для создания ботнетов они начали эксплуатировать уязвимости в web-серверах и PHP-фреймворке . В конце концов число ботнетов увеличилось настолько, что власти больше не могли игнорировать их, и полиции пришлось действовать.
Операция по закрытию крупнейшего в Китае ботнета началась еще в августе 2018 года. Как сообщали местные СМИ, полиции провинции Цзянсу стало известно об огромном количестве взломанных серверов, принадлежащих компании Xuzhou Telecom. Серверы были заражены бэкдорами, предоставляющими киберпреступниками контроль над ними.
В ходе дальнейшего расследования была выявлена преступная операция по внедрению вредоносного ПО на сайты через уязвимости. Скомпрометированными оказались 200 тыс. сайтов, в том числе правительственные порталы.
На этой неделе, спустя более года с начала расследования, сотрудники полиции в 20 городах КНР арестовали 41 подозреваемого, в том числе двух операторов ботнета, и конфисковали у них 10 млн юаней (порядка $1,4 млн). Управляемый киберпреступниками ботнет использовался в основном для осуществления DDoS-атак (пиковая мощность достигала 200 Гбит/с), однако иногда он также использовался для внедрения на взломанные сайты спама, рекламы и майнеров криптовалюты.