Nella loro continua battaglia contro le botnet e i cyber criminali, gli esperti di Kaspersky Lab, in collaborazione con CrowdStrike Intelligence Team, Dell SecureWorks e i membri di Honeynet Project, hanno smantellato la seconda botnet Hlux (nota anche con il nome di Kelihos). Questa botnet era tre volte più grande della prima botnet Hlux/Kelihos smantellata nel settembre 2011. Dopo solo 5 giorni dall’operazione, Kaspersky Lab aveva già neutralizzato più di 109.000 host infetti. Si stima che la prima botnet Hlux/Kelihos avesse solo 40.000 sistemi infetti.
La prima botnet Hlux/Kelihos
Questa non è la prima volta che Kaspersky Lab opera contro questa botnet. A settembre 2011, Kaspersky Lab insieme con la Digital Crimes Unit di Microsoft, Surf Net e Kyrus Tech Inc., ha disabilitato con successo la botnet Hlux/Kelihos. In quella occasione, Kaspersky Lab aveva eseguito un’operazione sinkhole, disabilitando la botnet e l’infrastruttura di backup dal C&C.
Gli esperti di Kaspersky Lab hanno diffuso una nuova ricerca nel gennaio 2012, che ha rivelato la presenza di una seconda botnet Hlux/Kelihos che agiva in maniera incontrollata. Nonostante la botnet fosse nuova, il malware era stato costruito utilizzando lo stesso codice della botnet Hlux/Kelihos originale. Il nuovo malware ha mostrato che la seconda botnet era dotata di alcuni aggiornamenti, tra i quali nuovi metodi di infezione e funzionalità Bitcoin. Come nella prima versione, la botnet utilizzava la sua rete di computer infetti per inviare spam, sottrarre dati personali ed eseguire Distributed Denial of Service (DDoS) contro obiettivi specifici.
Come è stata disabilitata la seconda botnet Hlux/Kelihos
Durante la settimana del 19 marzo 2012, Kaspersky Lab, CrowdStrike Intelligence Team, Dell SecureWorks e Honeynet Project hanno lanciato un’operazione di sinkholing per lo smantellamento della botnet. Entrambe le botnet Hlux/Kelihos erano peer-to-peer (P2P), il che significa che ogni computer della rete svolgeva il ruolo di server e/o client, a differenza delle botnet tradizionali che si basano su un unico server Command&Control (C&C). Per la botnet P2P, il gruppo di esperti di sicurezza ha creato un network globale di computer, che sono stati installati nelle infrastrutture della stessa botnet. Dopo un breve periodo di tempo, il network sinkhole ha aumentato la sua “popolarità” in rete e questo ha permesso a più computer infetti di essere controllati da Kaspersky Lab, evitando ai bot-operator di accedervi. La botnet è stata quindi indebolita dalla perdita di controllo delle macchine infette da parte dei cyber criminali.
Dal 19 marzo, la botnet è diventata inattiva. Grazie al collegamento della maggior parte delle botnet al sinkhole, gli esperti di Kaspersky Lab possono effettuare un data mining per analizzare il numero delle infezioni e la loro posizione geografica.
Fino ad oggi Kaspersky Lab ha contato 109.000 indirizzi IP infetti. La maggior parte di questi sono stati rilevati in Polonia.
