Microsoft контролирует десять крупнейших ботнетов и скупает на «черном» рынке украденные пароли
Сейчас под контролем Microsoft находятся десять крупнейших ботнетов в интернете с десятками миллионов ничего не подозревающих пользователей. Об этом на конференции по безопасности Sector в Торонто рассказал Тим Рейнс, главный советник по безопасности в подразделении Microsoft Worldwide Cybersecurity & Data Protection.
По словам Рейнса, захват контроля над ботнетами является частью стратегии Microsoft, призванной обезопасить организации, использующие облачный сервис Azure.
Нужно отдать должное Microsoft – в этом вопросе она проявила небывалую находчивость. Для получения соответствующего решения суда и перевода командных серверов под свой контроль Microsoft использует тот факт, что ботнеты, помимо прочего, рассылают спам с предложением купить незаконные копии ПО Microsoft. Это в свою очередь позволяет Microsoft говорить о нарушении своей торговой марки и просить суд временно приостановить работу сервера с передачей под ее контроль, чтобы остановить рассылку спама и дальнейшее неправомерное использование торговой марки. Судья удовлетворяет просьбу Microsoft и передает дело в открытый суд, где владелец сервера может оспорить это решение и восстановить контроль над своим сервером. Само собой, организаторы ботнетов никогда не появляются в суде.
За последнее время Microsoft уже несколько раз использовала данную хитрую схему и сейчас, если верить Рейнсу, в распоряжении компании находится десять крупнейших ботнетов в интернете, в которые входит 60-70 миллионов компьютеров, включая известные ботнеты Zeus и Rustock.
Зачем Microsoft ботнеты? Ответ прост: вместо DDoS-атак, распространения спама и вредоносного программного обеспечения программный гигант использует их для отслеживания зараженных систем. Все зараженные ПК выходят на связь с командными серверами для получения дальнейших указаний. Таким образом, Microsoft известный IP-адреса всех зараженных компьютеров.
Полный список IP-адресов находится в Azure и подключен к программным интерфейсам Azure Active Directory, так что пользователи облачного сервиса теперь получают сообщение, если какой-то из их IP-адресов попадает в этот список.
В Редмонде могли бы попросту отключить командные серверы и уничтожить ботнеты, но не делают этого из лучших побуждений – так компания заботится о своих пользователях. Ведь если человек, компьютер которого был взломан, не установит антивирус и обновления Windows, ситуация может повторится, поэтому продолжает следить, проявляя тем самым заботу о своих пользователях.
Кроме администрирования ботнетов, как рассказал Рейнс, Microsoft покупает базы данных с украденными паролями, которые, как правило, собраны ботнетами, на закрытых хакерских форумах. Иногда базы данных достаются в результате операций правоохранительных органов. Все «добыча» загружается в Azure Active Directory в целях информирования пострадавших пользователей.