WASHINGTON WASHINGTON (Reuters) - S.U.A. Departamentul de Justiție a declarat luni că a lansat un efort pentru a elimina botnetul Kelihos, o rețea globală de zeci de mii de computere infectate despre care susține că a fost operată de un cetățean rus care a fost arestat în Spania în weekend.

spam

Peter Yuryevich Levashov a operat rețeaua de bot Kelihos care a infectat computerele care rulează sistemul de operare Windows al Microsoft Corp din aproximativ 2010, a declarat Departamentul de Justiție.

Un dosar penal împotriva lui Levashov de către Departamentul de Justiție rămâne sub sigiliu, dar luni departamentul a anunțat o plângere civilă destinată blocării spamului de pe botnet.

Serviciul de presă rus-stat RT a raportat că Levashov a fost luat în custodie în Spania în weekend într-un SUA mandat.

Nu se știa dacă Levashov avea un avocat. Ambasada Rusiei la Washington nu a fost imediat disponibilă pentru comentarii.

Levashov, care a fost considerat de multă vreme identitatea probabilă a unei persoane online cunoscute sub numele de Peter Severa, a petrecut ani întregi printre cei mai prolifici spammeri de computer din lume de către Spamhaus, un grup de urmărire a spamului.

RT a citat-o ​​pe soția lui Levashov spunând că a fost arestat sub acuzațiile provenite din S.U.A. credința guvernului că Rusia a intervenit în SUA de anul trecut alegeri pentru a-l ajuta pe președintele Donald Trump să câștige. Rusia a negat intervenția în SUA alegeri.

Un oficial al Departamentului Justiției, care a vorbit cu reporterii cu condiția anonimatului, a declarat luni că acțiunea actuală împotriva botnetului nu are legătură cu alegerile.

Rețeaua de bot Kelihos a fost o sursă de activitate criminală care vizează utilizatorii de computere din întreaga lume din cel puțin 2010, a spus oficialul.

Uneori, botnetul a crescut mai mult de 100.000 de dispozitive infectate simultan pentru a efectua diverse atacuri de spam, inclusiv scheme de stocare a pompelor și a depozita, furturi de parole și injectarea diferitelor forme de malware, inclusiv ransomware, în dispozitivele țintă, a spus oficialul. Botnet-urile sunt adesea închiriate și pentru mai multe utilizări criminale.

Pentru a elibera computerele „victimei”, Statele Unite au obținut ordinele instanței de a lua măsuri pentru neutralizarea botnetului Kelihos, inclusiv stabilirea unor servere de înlocuire și blocarea comenzilor trimise de la operatorul de botnet, a declarat departamentul.

Trei versiuni anterioare ale Kelihos au fost eliminate, dar de fiecare dată a reușit să crească din nou cu îmbunătățiri care l-au făcut mai rezistent.

Cea mai mare problemă a fost că, în cele mai recente iterații, computerele infectate individuale se puteau actualiza reciproc cu un cod nou, astfel încât simpla eliminare a celor câteva servere de comandă era insuficientă.

Oamenii legii au primit ajutor tehnic de la firma de securitate privată CrowdStrike Inc în analiza codului pe măsură ce acesta a evoluat, iar analiștii de acolo au descoperit un defect în metoda programului de distribuire a listelor cu alte mașini infectate pe care să le contacteze.

„Am reușit să preluăm propagarea acelei liste, astfel încât gazdele infectate cu malware nu au putut primi actualizări” unul de la celălalt, a declarat Adam Meyers, vicepreședinte de informații la CrowdStrike.

Operațiunea Kelihos a fost prima țintire a unei rețele bot care a folosit o modificare recentă a regulii judiciare care permite Biroului Federal de Investigații să obțină un singur mandat de căutare pentru a accesa de la distanță computerele situate în orice jurisdicție, posibil chiar și în străinătate, a spus un purtător de cuvânt al Departamentului Justiției. Anterior, astfel de mandate nu puteau fi utilizate decât în ​​jurisdicția unui judecător.

Un astfel de mandat a fost folosit dintr-o abundență de prudență legală, a declarat oficialul Departamentului Justiției reporterilor, adăugând că acțiunile Kelihos au fost similare cu cele anterioare din S.U.A. autoritățile au luat pentru a perturba alte botnet-uri.

Computerele victime nu au fost infiltrate de FBI, ci au fost redirecționate către un computer controlat de forțele de ordine, denumit adesea „dolină”, pentru a întrerupe conexiunea dintre dispozitivele infectate și operatorul de rețea bot, a spus oficialul.

(Raportare de Dustin Volz, Joseph Menn și Eric Beech; editare de Lisa Shumaker și G Crosse)