Эксперты Google нарушили работу ботнета Glupteba и подали в суд на двух россиян

Представители Google сообщили, что удалили учетные записи, а также отключили серверы и домены, связанные с ботнетом Glupteba. Кроме того, компания подала в суд на россиян Дмитрия Старовикова и Александра Филиппова, которых обвиняет в создании и эксплуатации ботнета, пишет Хакер.

Отчет экспертов гласит, что Google удалила около 63 млн файлов из Google Docs, которые операторы Glupteba использовали для распространения своей малвари, а также 1183 учетных записи Google, 908 облачных проектов и 870 учетных записей Google Ads, которые хакеры тоже использовали для размещения различных частей своего ботнета.

Кроме того, в последние несколько дней Google сотрудничает с несколькими хостерами и компаниями, занимающимися интернет-инфраструктурой (например, Cloudflare), прорабатывая вопрос отключения управляющих серверов Glupteba.

К сожалению, в компании признают, что эта операция вызовет лишь временные проблемы в работе ботнета, так как малварь исходно была создана с резервной C&C-системой, которая работает поверх блокчейна Bitcoin. Тем не менее, в Google надеются, что Glupteba хотя бы на несколько месяцев снизит свою активность.

Glupteba

Впервые ботнет Glupteba был задокументирован в отчете компании ESET в далеком 2011 году. На сегодня он является одним из старейших ботнетов в мире, который атакует пользователей в США, Индии, Бразилии и странах Юго-Восточной Азии.

Glupteba  атакует только системы под управлением Windows и для распространения полагается на взломанное или пиратское ПО, а также схемы с оплатой за каждую установку (pay-per-install). Проникнув на устройство, малварь загружает различные модули, которые могут выполнять специализированные задачи.

Как известно, на взломанных машинах Glupteba ворует учетные данные и файлы cookie, добывает криптовалюту, а также разворачивает и эксплуатирует прокси-компоненты, нацеленные на системы Windows и устройства IoT.

Один из наиболее известных модулей ботнета способен распространять заражение с компьютера под управлением Windows на маршрутизаторы MikroTik, обнаруженные во внутренних сетях. Считается, что именно этот модуль использовался в начале текущего года для построения  ботнета Mēris, ответственного за некоторые крупнейшие DDoS-атаки на сегодняшний день.

Помимо создания технических проблем для работы Glupteba специалисты Google заявляют, что им удалось идентифицировать двух граждан России, которые связаны с некоторыми деактивированными доменами и учетными записями.

В судебных документах Google называет Дмитрия Старовикова и Александра Филиппова создателями и операторами Glupteba, а еще 15 неизвестных лиц — их сообщниками. По данным компании, они управляли несколькими сайтами, где рекламировали возможности своего ботнета. Например, dont.farm, где продавали доступ к взломанным рекламным аккаунтам Google и Facebook. Считается, что хакеры получили учетные данные для этих аккаунтов через свой ботнет, а позже продали доступ другим злоумышленникам.

Более того, Google полагает, что все это — лишь часть более крупного «криминального предприятия» Glupteba, которое также включало в себя управление сайтам AWMProxy.net (позже vd.net) и abm.net. Эти ресурсы позволяли арендовать доступ к прокси, размещенным на компьютерах жертв Glupteba.

В рамках своего иска Google требует возмещения ущерба, судебного запрета против двух подозреваемых, запрещающего им взаимодействовать с любыми сервисами Google, а также постановления о том, что создатели Glupteba нарушили ряд американских законов: Закон о рэкетирах и коррупционных организациях (RICO), Закон о компьютерном мошенничестве и злоупотреблениях, Закон о конфиденциальности электронных коммуникаций, Закон Лэнхэма (федеральный закон о товарных знаках от 1946 года), а также занимались неправомерным вмешательством в деловые отношения для получения незаконного обогащения.