«Лабораторія Касперського» спільно з CrowdStrike Intelligence Team, Dell SecureWorks та Honeynet Project оголошує про проведення операції по відключення другого ботнету Hlux (також відомого як Kelihos).
За шість днів експерти знешкодили бот-мережу, до складу якої входило понад 116 тисяч заражених комп’ютерів.
«Лабораторія Касперського» вже вдруге вступає в сутичку з модифікацією ботнету Hlux/Kelihos. У вересні 2011 року «Лабораторією Касперського» спільно з відділом компанії Miсrosoft по боротьбі з кіберзлочинністю і компаніями Surf Net і Kyrus Tech, Inc було успішно відключено перший ботнет Hlux/Kelihos, до складу якого входило близько 40 тисяч хостів. У той раз «Лабораторія Касперського» провела операцію по впровадженню sinkhole-маршрутизатора, в ході якої ботнет і його резервна інфраструктура були відключені від командного сервера.
Незважаючи на нейтралізацію першого ботнету і встановлення контролю над ним, експерти «Лабораторії Касперського» виявили сліди функціонування другого активного ботнету Hlux/Kelihos. Шкідлива програма для нього була написана з використанням того ж коду, що і в першому Hlux/Kelihos, однак новий бот, крім традиційних функцій розсилки спаму і проведення DDoS-атак, володів рядом додаткових.
Протягом тижня, починаючи з 19 березня 2012 року, «Лабораторія Касперського», команда CrowdStrike Intelligence, Honeynet Project і Dell SecureWorks проводили операцію по впровадженню sinkhole-маршрутизатора, в ході якої ботнет було успішно знешкоджено. На відміну від традиційних ботнетів, які для управління мережею використовують один командний сервер (C&C), Hlux/Kelihos має пірингову архітектуру, яка передбачає, що кожен комп’ютер може виступати в якості як сервера, так і клієнта. Для нейтралізації подібної схеми групою експертів з безпеки була створена глобальна розподілена мережа. Вона складається з комп’ютерів, які були впроваджені в інфраструктуру ботнету. Незабаром ця мережа стала настільки масштабною, що «Лабораторія Касперського» змогла нейтралізувати дію ботів, запобігши можливість отримання ними шкідливих команд.
Оскільки велика частина комп’ютерів, що входять в ботнет, з’єднана з маршрутизатором, експерти «Лабораторії Касперського» мають можливість відстежувати кількість і географічне положення заражених машин. На даний момент мова йде про 116 тисяч заражених системах. Більшість IP-адрес розташовані в Польщі і США.