Компанія ESET – лідер у галузі проактивного виявлення – спільно з Кіберполіцією України, а також компаніями Cys Centrum та CERT-Bund знешкодили ботнет, який нараховув тисячі інфікованих комп'ютерів під управлінням операційної системи Linux, розміщених в різних країнах світу. Таким чином, з 29 лютого 2016 року шкідлива діяльність загрози Mumblehard, а саме розсилка спаму, була зупинена.
Починаючи з 2009 року, сімейство шкідливих програм Mumblehard інфікувало системи Linux з метою створення ботів для розсилки спаму. Експерти ESET стежили за поведінкою бекдора Mumblehard, використовуючи псевдокомандний сервер («sinkhole server»). Так була зібрана інформація про те, скільки комп'ютерів було заражено та які саме. Після цього отримані дані були передані компанії CERT-Bund, яка, в свою чергу, через певні організації в різних країнах повідомила всіх жертв одного з найбільших ботнетів у світі.
У травні 2015 року, приблизно через місяць після публікації аналізу даної загрози дослідниками ESET, творці ботнету Mumblehard зменшили кількість IP-адрес, що використовувалися в якості командних серверів для управління бекдора, до однієї, яка знаходилася в Україні та безпосередньо контролювалася зловмисниками. Тоді як для повного знешкодження ботнету та припинення розсилки шкідливого спаму необхідно було отримати контроль лише над даним командним сервером. З цією метою компанія ESET розпочала співпрацю з відповідними організаціями.
Вже в жовтні 2015 року спільно з Кіберполіцією України та компанією Cys Centrum була отримана вся необхідна інформація з командного сервера. Проведений судовий аналіз підтвердив правильність всіх припущень спеціалістів ESET про ботнет, а також виявив кілька нових деталей.
Серед нових відкриттів виявлено цікаву особливість роботи Mumblehard, яка полягала в автоматичному виключенні IP-адрес ботів зі списку адрес Spamhaus Composite Blocking List (CBL). Зловмисники використовували спеціальний скрипт для відстеження вмісту цього списку на наявність там IP-адрес кожного зі спам-ботів. У разі потрапляння в цей список одного з таких IP-адрес скрипт відправляв запит на їх виключення із CBL. Подібні запити на виключення адрес зі списку захищаються за допомогою CAPTCHA, але для її обходу використовувався механізм OCR або його аналог.
Усі операції з командним сервером, які включали в себе взаємодію з віддаленим хостом, а саме виконання команд на інтерпретаторі PHP, виключення зі списку CBL та інші, виконувалися через використання проксі. Функція відкритого проксі «демона» для розсилки спаму (одного з компонентів Mumblehard), що здійснюється через TCP-порт 39331, використовувалася для маскування джерела запиту. Перевіряючи доступність всіх проксі, панель управління ботнету показала наявність жертв шкідливої програми в 63 країнах світу.
Закривши сервер Mumblehard 29 лютого 2016 року, Кіберполіція України замінила його на псевдокомандний сервер, який керувався ESET. Такими чином, протягом березня було зібрано інформацію про загрозу. Відповідно до отриманих даних близько 4000 систем Linux були інфіковані, згодом число заражених комп'ютерів стало повільно зменшуватися. У свою чергу, компанія CERT-Bund почала повідомляти про загрозу зараження організації, які постраждали від Mumblehard.
Через високу активність загрози Mumblehard фахівці ESET рекомендують використовувати актуальні версії веб-додатків, а також сильні паролі для облікових записів адміністратора. У випадку виявлення факту зараження системи варто виконати рекомендації, наведені за посиланням.
«Важливим фактором успіху цієї операції була співпраця з правоохоронними органами та іншими організаціями. Фахівці ESET дякують Кіберполіції України, Cys Centrum LLC і CERT-Bund, завдяки спільним діям з якими робота в Інтернет-мережі стала більш безпечною. Незважаючи на те, що Mumblehard не є найпоширенішим, найнебезпечнішим та найбільш складним ботнетом, перемога в протистоянні з ним – це ще один крок у напрямку забезпечення надійного захисту корпоративних користувачів. Знешкодження даної загрози показало, що спільна робота дослідників та інших організацій в галузі безпеки дозволяє значно знизити вплив шкідливої діяльності кіберзлочинців», – говорить Олександр Іллюша, керівник служби технічної підтримки ESET в Україні.
Після знешкодження ботнету нові шкідливі програми сімейства Mumblehard або види їх діяльності не виявлено.