Компания Microsoft «по ошибке» захватила более 1000 чужих доменов

На минувшей неделе представители ФБР и Microsoft объявили о выведении из строя свыше 1000 ботнетов Citadel (по имеющейся на данный момент времени информации – более 1400). Однако пару дней назад выяснилось, что «Операция b54» прошла не столь удачно, как предполагалось изначально.

Суть данной операции Microsoft заключалась в следующем: необходимо было изъять 4000 доменных имен, используемых ботнетами Citadel, после чего перенаправить их на собственный C&C-сервер. С технической точки зрения, это называется синкхолингом (sinkholing), то есть перехватом управления.

Данная процедура не является инновационной: подобная техника используется достаточно давно. К примеру, ее уже применяли в 2009-м году для захвата ботнета Conficker. Синкхолинг обычно используют для сбора информации о зараженных и инфицированных компьютерах, а также для сообщения информации владельцам потенциально опасных сетей.

В наши дни в интернете существует огромное количество sinkhole-серверов, причем, большинство из них принадлежат разным исследователям, однако встречаются и коммерческие, предназначенные для продажи информации клиентам. Одним из самых известных специалистов по синкхолингу считается швейцарский исследователь, которому принадлежит интернет-ресурс Abuse.ch и популярный трекер ботнетов: ботнеты SpyEye, ботнеты ZeuS и ботнеты Palevo.

Именно этого исследователя якобы непреднамеренно «обидела» корпорация Microsoft во время выполнения последней операции.
На протяжении нескольких лет вышеупомянутый специалист держит sinkhole-серверы, отправляя собранную информацию в некоммерческую организацию Shadowserver, которая в последствие уведомляет владельцев зараженных систем.

7 июня сего года с sinkhole-сервера Abuse.ch неожиданно исчезло порядка 300 доменов. Владелец начал поиски пропажи и выяснил, что все они ссылаются на сервер, который находится в корпоративном сегменте Microsoft (199.2.137.0/24). Очевидно, что в результате проведенной операции Microsoft изъял не только домены с вполне реальными управляющими серверами, но также и домены сторонних исследователей.

Однако, самое грустное в данной ситуации то, что аналогичным бесцеремонным образом компания Microsoft поступила и в прошлом году – тогда во время операции против ботнетов ZeuS сервер Abuse.ch также лишился нескольких сотен доменов.

14.06.2013