В США остановлен крупнейший в истории ИТ ботнет. Он получил название «DNS Changer», объединял более четырех миллионов взломанных компьютеров и более чем вдвое превосходил ботнет Rustock, работу которого американские правоохранительные органы при поддержке Microsoft остановили в марте этого года.
Около четверти ботов действовали на персональных компьютерах Windows и Mac, размещенных на территории США.
Фейке Хакеборд (Feike Hacquebord), старший научный сотрудник по исследованию компьютерных угроз компании Trend Micro, вчера в своем блоге назвал эту операцию «остановкой самого большого криминального ресурса в истории». Trend Micro входила в состав группы из нескольких компаний и организаций, приглашенных ФБР к исследованиям, обеспечивающим остановку ботнета. В их числе Mandiant, Neustar, Spamhaus и Университет штата Алабама при исследовательской группе компьютерной судебной экспертизы Бирмингема.
В среду Министерство юстиции предъявило обвинения группе из семи подозреваемых. В ее составе шесть эстонцев и один русский. Обвинения предъявлены по 27 пунктам, в числе которых мошенничество, отмывание денег и незаконный доступ к компьютерам. Утверждается, что группа разработала схему прибыли посредством обмана пользователей, которая позволила злоумышленникам получить более $14 млн. в течение четырех лет.
В схеме применялось вредоносное ПО, которое перехватывало щелчки «мыши» при просмотре страниц, затем перенаправляя пользователя на сайты, созданные хакерами, напоминающие реальные домены. По сведениям Internet Storm Center, эксперты в области безопасности, входящие в состав рабочей группы, сообщили, что бот-сеть была создана с применением нескольких вредоносных программ, в том числе руткита TDSS, известного как «Alureon», а также «троянцев», созданных для ОС Apple Mac X. Как защищать «поумневшие» промышленные сети: «Синоникс» на страже безопасного объединения изолированных сетей 
В обвинительном заключении говорится, что злоумышленники инфицировали персональные компьютеры, заманивая пользователей на вредоносные сайты или обманывая их, предлагая загрузку и установку видео-кодеков, которые, как они мошеннически утверждали, были необходимы для просмотра видео. Согласно заявлению Trend Micro, она следила за ботнетом DNS Changer с 2006 года. По словам экспертов компании, предполагаемые преступники ежедневно обновляли вредоносное ПО и меняли параметры DNS (Domain Name System) каждого бота.
В обвинении говорится также, что вредоносное ПО блокировало попытки пользователей обновлять установленные антивирусные программы или получение патчей обновлений операционной системы.
Были проведены аресты, при этом подсудимый – россиянин остался на свободе. Федеральное бюро расследований (ФБР) закрыло более 100 доменов и бот-сеть управления и контроля (C&C), размещенные на серверах центров обработки данных в Нью-Йорке и Чикаго. Это мероприятие позволило бы оставить зараженные ПК и Маки без возможности подключения к Интернету: захват контроля над доменными серверами позволил удалить таблицу маршрутов веб-адресов. Вместо этого федеральный судья утвердил план, согласно которому Internet Systems Consortium (ISC), некоммерческая группа, поддерживающая популярные BIND DNS с открытым исходным кодом, развернула чистые DNS-серверы.
В течение 120 дней ISC будет управлять заменёнными DNS-серверами. Этого времени должно хватить пользователям и провайдерам Интернета (ISP) для выявления и очистки зараженных компьютеров от вредоносного ПО DNS Changer. В отличие от подавления других бот-сетей, таких как Coreflood, Министерство юстиции не будет удаленно чистить зараженные системы.
ФБР опубликовала инструкции, которые пользователи могут применить для определения использования их DNS-записей хакерами. Агентство также разработало инструмент, проверяющий параметры DNS, которые могут быть среди тех, что контролировала преступная группа.
В этой операции, названной «Operation Ghost Click», не принимала участие Microsoft, оказавшая в начале года поддержку правоохранительным органам при подавлении других ботнетов.
