ORD

Человек не терпит насилия!

Вы можете читать нас на следующих доменах:
ord-ua.info ord-ua.biz ord-ua.org

RSS «Хакеры государевы» или украинская государственная «ботсеть»

Банально, но факт: нет ничего тайного, чтобы рано или поздно не становилось явным. Сейчас разгорается скандал, связанный с обнаружением крупнейшей в мире «ботсети», созданной украинскими хакерами. Цитируем «Securitylab»:
«Консалтинговая компания Finjan сообщает, что ее специалистами был обнаружен крупнейший ботнет, контролируемый всего одной бандой интернет-преступников. Согласно данным компании, ботнет насчитывает как минимум 1,9 млн компьютеров и управляется с территории Украины, по крайней мере все управляющие команды на управление, а также все серверы для координации зараженных ПК находятся на территории этой страны.

Как утверждается в отчете, ботнет находится в использовании у украинских хакеров с февраля этого года, управляет сетью зараженных компьютеров банда из 6 человек, рассылающих спам и троянские приложения пользователям, компьютеры которых работают под управлением ОС Windows XP.

“Банда скомпрометировала компьютеры, работающие в 77 различных правительственных доменах, большая часть из которых расположена на территории США. Около 80% инфицированных компьютеров работают под управлением WinXP и IE, еще 15% используют Firefox”, — говорит Офир Шелитин, директор по маркетингу Finjan.

Технический директор Finjan Юваль Бен-Ицхак заявил, что исходя из крупных масштабов ботнета, а также из расценок на черном рынке, ежедневный доход, получаемый от использования бот-сети, доходит до 190 000 долларов. “Командные серверы здесь используются для контроля инфицированных компьютеров, а также для загрузки новых версий вредоносного программного обеспечения. Базовая версия трояна, используемая для вторжения в компьютеры, детектируется лишь 4 из 39 наиболее популярных в мире антивирусов”, — дополняет Шелитин.

В Finjan отмечают, что при попадании “украинского” трояна на компьютер-жертву, он начинает выполнять заложенные в нем инструкции, выходя на связь с другими ПК и управляющими серверам.»
Забавно, не правда ли? Еще более забавно то, что специалисты Finjan не знают или еще не хотят говорить о том, что эта мощная «ботсеть» управляется и используется высокопоставленными украинскими госчиновниками. И действовать она начала еще в прошлом году. Мы неоднократно подвергались Ddos-атакам и массированным рассылкам порно-спама со стороны этой ботсети. Атаки всегда начинались после критических статей против Виктора Балоги и его подчиненных. Первая массированная атака началась после материала о внебрачно дочери Виктора Ющенко, которая была удочерена Виктором Балогой. Мы неоднократно писали о том, что руководство Секретариата Президента, отдавая приказ своим «хакерам» атаковать наш сайт совершают серьезное преступление против иностранных IT-компаний, на серверах которых размещается наш сайт. В частности, мы предупреждали, что Балога фактически атакует фирму, принадлежащую США. Причем, делает это с использованием сотрудников СБУ, которые непосредственно руководят бот-сетью. Мы даже называли фамилию некоего сотрудника СБУ Белова, который непосредственно руководил Ddos-атаками на наш сайт. И вот, наконец, Finjan вычислил зараженные компьютеры в США, которые контролировались украинскими хакерами. Надо полагать, что это лишь первая часть скандала, так как Finjan является частной конторой и настоящими расследованиями заниматься не полномочна. Однако, наработанные материалы компания уже передала в госструктуры, в частности в ФБР. И вот последствия их расследования могут быть куда серьезнее. Особенно, после того, как в ФБР узнают, что бот-сеть, поселившаяся в американских компьютерах, управлялась сотрудниками СБУ и высокопоставленными украинскими госчиновниками. СБУ, кстати, поспешила оправдаться, но несколько неуклюже. Цитируем «Зеркало недели»: «Георгий КАРПОВ, заместитель начальника управления СБУ по защите информационных ресурсов

— Служба безопасности отслеживала ситуацию еще в январе—феврале 2009 года. Мы знали, что распространяется специфический вирус, и взяли ситуацию под контроль. Нам удалось обнаружить источник поражения — прежде всего пострадали компьютерные системы государственных органов. Это оказалось следствием несанкционированного использования инфицированных флешек работниками государственных структур. Они просто нарушали правила использования компьютеров, установленных в помещениях органов государственного управления, что и содействовало распространению вируса. Служба защиты информации своевременно отреагировала, заражение было локализовано и преимущественно ликвидировано. Но остались частные сети, которые тоже были инфицированы.

— Источник распространения вируса действительно находился в Украине?

— Обнаружить источник такого специфического заражения очень трудно, поскольку не было командного пункта, из которого исходили распоряжения зараженным системам.

— И все же специалисты по Finjan говорят, что такой источник есть, и находится он в Украине.

— Возможно, этот источник появился позже, и мы еще не успели его зафиксировать. До сих пор у нас не было информации, что эта ботсеть уже была задействована.»

Ага, флешки вирус распространяли, СБУ естественно, все пресекла, остались «только частные сети». Понятно, что «частные», потому что пора концы в воду прятать. Ключевыми в этом комментарии являются слова «командный пункт». Будет действительно очень весело, когда американцы обнаружат его где-нибудь в гостинице, недалеко от киевского ВДНХ. Или на другой базе «конторы». И, наверное, очень удивятся, узнав, что государственные силы и средства тратились на борьбу… с неугодными интернет-сайтами. Кстати, не только с «ОРД». В любом случае, следует запасаться поп-корном, будет весело.

Сергей Никонов, «ОРД»

Версия для печати

 

 

Комментировать

Комментарии - страница 1

28.04.2009 11:22 Joker

Цитата из форума Securitylab Никакого ботнета из миллионов компьютеров нет! Никто не взламывал правительственные компьютеры или компьютеры домохозяек! Была просто группка из нескольких SЕО оптимизаторов, деятельность которых заметило какое-то секьюрное агентство.

Как всё произошло в реальности можно прочитать тут: bitonic.wordpress.com/2009/04/23/%D1%83%D0%BA%D1%80%D0%B0%D0%B8%D0%BD%D1%81%D0%BA%D0%B8%D0%B5-%D0%BA%D1%83%D0%BB%D1%85%D0%B0%D1%86%D0%BA%D0%B5%D1%80%D1%8B-%D0%B7%D1%8B-%D0%B1%D1%8D%D1%81%D1%82-%D0%B8%D0%BB%D0%B8-%D0%BA%D0%B0%D0%BA/


28.04.2009 11:29 Хотя в коде последнего вируса было найдено упоминание Украины

Цитата из форума Securitylab: Если вы внимательно почитаете анализ Конфикера mtc.sri.com/Conficker то обнаружите, что по штамм Сonficker.A не заражал машины с украинским IP, а штаммы Сonficker.B и Сonficker.B+ на заражали машины с украинской раскладкой клавиатуры.

Действительно по адресу mtc.sri.com/Conficker: Conficker A/B Geographic Patterns Appendix 1 provides a cumulative summaries of IP counts and cumulative Q-counts for countries around the globe. We find that China dominates both infections. BR, IN, and AR also seem to suffer large numbers of infections. One reason for this might be unpatched systems that run pirated versions of Windows. We find that UA and RU are more significantly impacted by Conficker B suggesting that the protection mechanisms (keyboard layout check) built into Conficker A insulated certain Ukrainian and Russian systems.

One interesting area of difference between A and B is the use of country-based filtering within A, which was excluded in the later release B. Conficker A employs two checks to avoid infecting systems located within the Ukraine. First, it includes a service that determines whether the infection propagation function is about to scan an address that is located in the UA domain. If so, it will select a different IP address to target. Once Conficker A infects a system, it includes a keyboard layout check, via the GetKeyboardLayout API, to determine whether the victim is currently using the Ukrainian keyboard layout. If so, A will exit without infecting the system. This suicide exit scheme has been observed in other malware-related software, such as Baka Software’s Antivirus XP Trojan installer [13]. Stewart documents the Baka Software fraudware business in good detail, and notes that the Antivirus XP authors may be excluding their home nation to avoid the attention of local authorities.

Кому это нужно вопрос.


28.04.2009 12:21 Сергей

Не знаю что до “контролируемого чиновниками “ботнета”, но вирус, упомянутый в конце статьи, как а-штамм, так и все прочие — “украинские” компьютеры поражал только в путь. И “не-украинские” - тоже.


28.04.2009 14:02 007

мдя — случайно Swine glu не оттуда распространяется ?


28.04.2009 15:57 Andrew

Думаю, надо поменьше верить таким зарубежным “агенствам” — у меня сложилось впечатления, что очень многим выгодно валить на Украину с нашей вечной нестабильностью всякую лажу — и софт у них пиратский, и то плохо, и это. Причина, думаю, очень простая — в нас видят конкурента в разных областях, поэтому надо всячески очернять, а мы и сами рады стараться. Точно так же под видом борьбы с пиратским софтом у нас давили производство компакт-дисков, и таких примеров, думаю, валом.


28.04.2009 20:10 Dark

какой феерический бред :) Просто диву даёшся :) Интересно, сколько Балога платит “хакерам” :) Судя по вирусам — мало :)


29.04.2009 0:37 error

Почитал все ссылки и сигнала и «Securitylab», видно плохо. Не нашел упомянания названий тех самых 4х антивирей которым украина не страшна. Может кто повнимательней, да подскажет.


29.04.2009 18:08 Юзверь

Бред, ребятки. Ну кому вы надо чтоб ддос атаки организовывать на вас? Флудили тут и что? Вы теперь каптчу вставили — молодцы, собсно для того, наверное, и старались. А ддос эт соовсем другая фича… тем более, что вас много: Пуск/выполнить — набираем cmd, там получаем IP-адрес сайта ord-ua.com (209.40.201.210) но можно проще — через http://ip-whois.net/website_ip.php далее по IP в поисковике находим: http://www.robtex.com/dns/ord-ua.com.html (IP-адреса, данніе о регистрации ОРД, др. информация) http://www.utrace.de/ip-adresse/209.40.201.210 (на карте города Сиэтл, США, указано местонахождение сервера с IP-адресом сайта ОРД) https://secure.registerapi.com/dds4/index.php?siteid=42566&domain=ord-ua&tld%5B%5D=com&submit.x=84&submit.y=18 (тут информация о доменах, на которых размещен сайт и его “дубликаты”) Не удаляйте комментарий, будьте любезны.


1.05.2009 20:09 Alias

При всей моей не любви к “Любим друзям” большего бреда я еще не читал.


Комментировать