Обезврежен Linux-ботнет Mumblehard, использовавшийся спамерами

Совместная операция ESET, CyS Centrum LLC и киберполиции Украины против ботнета-спамера Mumblehard завершилась успехом. В последний день февраля текущего года ИБ-экспертам удалось подменить C&C-сервер ботнета по методу sinkhole; с того момента ESET насчитала около 4 тыс. разбросанных по всему миру ботов, пытающихся соединиться со своим C&C.

Ботнет Mumblehard был построен на серверах Linux и BSD и функционировал в Сети как минимум с 2009 года. Положенный в основу ботнета зловред состоит из двух компонентов: бэкдора для получения C&C-команд и демона для рассылки спама, использующего пиратскую версию DirectMailer производства Yellsoft.

Новейший анализ показал, что для заражения операторы Mumblehard использовали уже установленный PHP-шелл, то есть попросту покупали доступ к скомпрометированным серверам. Примечательно, что, стремясь сохранить свои боевые порядки, ботоводы применяли особый скрипт, позволявший им блюсти репутацию зараженных хостов: этот скрипт автоматически проверял наличные IP-адреса по черным спискам Spamhaus и, обнаружив совпадение, отсылал в НКО запрос на восстановление «доброго» имени. При этом CAPTCHA-защиту от автоматической подачи таких запросов злоумышленники обходили с помощью системы оптического распознавания изображений или использовали сторонний сервис.

Полтора года назад ESET удалось внедрить подставной C&C-сервер в ботнет и таким образом получить представление о масштабах этой спам-операции. За семь месяцев мониторинга исследователи насчитали около 8,9 тыс. уникальных IP, входящих в состав ботнета. Результаты исследования были оглашены в апреле прошлого года. Эта публикация заставила злоумышленников заняться модификацией вредоносного кода, но, увлекшись усовершенствованиями, они совершили роковую ошибку: сократили число C&C до одного, украинского. Эта единственная точка отказа была быстро выявлена; ESET уведомила о своей находке власти Украины и с их помощью перехватила управление Mumblehard.