ZeuS Tracker отключил 9 российских пуленепробиваемых хостеров

При активном участии эксперта по кибербезопасности Романа Хюссе в этом месяце удалось отключить 9 пуленепробиваемых российских автономных систем, в которых нашли пристанище десятки контролирующих центров ZeuS-ботнетов. Кроме того, в январе были отключены ещё 5 украинских пуленепробиваемых хостеров.

Хюссе специализируется на ZeuS-ботнетах: его сервис ZeuS-трекер известен по всему миру. В марте прошлого года в поле зрения Хюссе попал хостинг-провайдер VLine Telecom (AS31500), который начал предоставлять услуги неким лицам, использовавшим мощности провайдера для размещения центров управления ZeuS-ботнетами.

По данным ZeuS-трекера, в прошлом году через VLine Telecom осуществлялось управление более чем 140 ботнетами. И это лишь если учитывать непосредственный хостинг, потому что VLine также начал перенаправлять трафик ряду автономных систем, которые, как считает Хюссе, оказались самыми худшими преступными сетями в мире.

По каждой из этих AS имеется весьма неприглядная запись в Spamhaus. Репутация Spamhaus далеко не безупречна, здесь порой заносят в чёрные списки целые страны, однако от деятельности этой организации бывает и положительный эффект. Так случилось и на этот раз, после того как в конце ноября минувшего года Spamhaus занёс в черные списки питерский GlobalNet. VLine Telecom в то время подключался к Сети именно через этого провайдера.

Вполне естественно, что в GlobalNet зашевелились. Хюссе также вышел на контакт с питерцами в декабре; по его словам, GlobalNet сперва отказался отключать VLine Telecom, ссылаясь на российские законы, однако, изучив предоставленные швейцарским экспертом улики, заблокировал нехорошие IP-адреса.

В конце декабря, когда выяснилось, что VLine Telecom не принимает никаких мер, в том числе профилактических, в отношении центров управления ботнетами, GlobalNet по просьбе Хюссе надавил на этого провайдера. В результате VLine Telecom отключил одного из пуленепробиваемых хостеров.

Победу, однако, праздновать было рано. В начале января VLine Telecom внезапно ушёл от GlobalNet к Федеральной университетской компьютерной сети России RUNNet вместе со всеми низлежащими преступными хостерами. Кроме того, VLine Telecom вышел на связь с Хюссе и попросил впредь обращаться к нему напрямую со всеми подобными жалобами.

Хюссе решил дать им шанс и приложил к ответному письму подробный список всех нарушителей с описанием их деятельности. VLine Telecom тут же отреагировал, заверив швейцарца, что все 9 нарушителей отключены от Сети. Как выяснилось через несколько часов, в действительности эти сети перестали быть видны с IP-адреса Хюссе, а кроме того, ими блокировался и трафик с ZeuS Tracker.

Тогда Хюссе, по его признанию, разозлился и вышел на связь с RUNNet. Там за один час вникли в ситуацию и прекратили транзитить VLine Telecom. А ещё через 4 минуты VLine Telecom написал в RUNNet и Хюссе о перекрытии кислорода всем 9 проблемным автономным системам.

В настоящий момент VLine Telecom опять подключился к GlobalNet, при этом, по данным Хюссе на 22 января, ни один из 9 пуленепробиваемых хостинг-провайдеров не поднялся. Эксперт считает это серьёзным успехом, хотя и уверен, что в действительности VLine Telecom также следовало наказать полным отключением.

Он, правда, отмечает, что, по его ощущениям, в VLine Telecom иногда не знали, что они делали (с технической точки зрения), и... не понимали, что я хотел им сказать (языковая проблема). В то же время Хюссе выражает благодарность GlobalNet и RUNNet и — наполовину в шутку, наполовину всерьёз — заявляет, что главным уроком, который он вынес из этой истории, является осознание того, что не каждый русскоговорящий парень — киберпреступник.