Ботнет «Цитадель» возвращается

Компания Trend Micro сообщает о возобновлении активности печально известного ботнета «Цитадель». По данным исследователей, не менее 9 IP-адресов, зарегистрированных в основном в Европе и США, используются сейчас как командные серверы «зомби-сети».

Сеть «Цитадель» возникла в 2011 году и объединяла миллионы компьютеров, инфицированных «банковским трояном» ZeuS, во всем мире. По указанию командных серверов, подконтрольных киберпреступникам, компьютеры ничего не подозревавших пользователей подключались к атакам на сети крупных банков и финансовых учреждений. По некоторым данным, добыча организаторов «Цитадели» могла составить до 500 миллионов долларов. В июне нынешнего года компания Microsoft совместно с ФБР, специалистами нескольких финансовых учреждений и технологических фирм провела масштабную операцию по обезвреживанию ботнета. От сети были отключены тысячи командных серверов, а представители Microsoft сообщили о самой жесткой и эффективной атаке на ботнеты в истории.

Однако специалисты по кибербезопасности во всем мире восприняли новость скорее скептически. Во-первых, акция Microsoft ударила и по ним. Многие из отключенных серверов были в действительности внедрены в «Цитадель» исследователями с использованием так называемого метода sinkhole. Суть его состоит в том, что к ботнету подключаются компьютеры, выдающие себя за командные серверы киберпреступников. С их помощью собираются данные о структуре и составе сети, а в некоторых случаях удается и отключить от нее часть «зомбированных» компьютеров. Не поставив исследователей в известность о своих планах, Microsoft причинил немалый ущерб их работе.

Во-вторых же, хотя операция Microsoft и нанесла серьезный удар по «Цитадели», уничтожить ботнет окончательно не удалось. Специалист британской компании Sophos Джеймс Уайк еще в июне отмечал, что почти половина командных серверов «Цитадели», обнаруженных Sophos, не присутствовала в списке Microsoft. «Операция произвела громкий кратковременный эффект, - писал Уайк. – Однако ее долговременные последствия не слишком значительны. Восстановить не до конца уничтоженный ботнет – дело времени, причем совсем не долгого».

Нынешние события подтверждают его правоту. По сообщению Trend Micro, за шесть дней наблюдений к возродившимся командным серверам «Цитадели» зафиксированы обращения более чем с 20 тысяч уникальных IP-адресов. 96 процентов запросов поступили из Японии. Компания Trend Micro уже оповестила японских пользователей и финансовые структуры о возможных кибератаках. Однако нет никаких гарантий, что активность «Цитадели» ограничится только Японией.