Компания ESET — лидер в области проактивного обнаружения — совместно с Киберполицией Украины, а также компаниями Cys Centrum и CERT-Bund обезвредили ботнет, который состоял из тысяч инфицированных компьютеров под управлением операционной системы Linux, размещенных в различных странах мира. Таким образом, начиная с 29 февраля 2016 года вредоносная деятельность угрозы Mumblehard по рассылке спама была остановлена.
Начиная с 2009 года, семейство вредоносных программ Mumblehard инфицировало системы Linux с целью создания ботов для рассылки спама. Эксперты ESET следили за поведением бэкдора Mumblehard, используя псевдокомандный сервер (так называемый «sinkhole server»). Таким образом была собрана информация о том, какие компьютеры и в каком количестве были заражены. После этого полученные данные были переданы компании CERT-Bund, которая, в свою очередь, через определенные организации в разных странах уведомила всех жертв, ставших частью одного из наиболее крупных ботнетов в мире.
В мае 2015 года, приблизительно через месяц после публикации анализа данной угрозы исследователями ESET, последовала реакция создателей ботнета Mumblehard — количество IP-адресов, используемых в роли командных серверов для управления бэкдора, было уменьшено до одного, который находился в Украине и напрямую контролировался злоумышленниками. Это означало, что для полного обезвреживания ботнета и прекращения рассылки вредоносного спама необходимо было лишь получить контроль над оставшимся командным сервером. С этой целью компания ESET начала сотрудничество с соответствующими организациями.
Так, в октябре 2015 года совместно с Киберполицией Украины и компанией Cys Centrum была получена вся необходимая информация с командного сервера. Проведенный судебный анализ подтвердил правильность всех предположений специалистов ESET о данном ботнете, а также раскрыл несколько дополнительных деталей.
Среди новых открытий была выявлена интересная особенность работы Mumblehard, которая заключалась в автоматическом исключении IP-адресов ботов из списка адресов Spamhaus Composite Blocking List (CBL). Злоумышленники использовали специальный скрипт для отслеживания содержимого этого списка на предмет наличия там IP-адресов каждого из спам-ботов. В случае попадания в этот список одного из таких IP-адресов скрипт отправлял запрос на их исключение из CBL. Подобные запросы на исключение адресов из списка защищены с использованием CAPTCHA, но для ее обхода использовался механизм OCR или его аналог.
Все операции с командным сервером, которые включали в себя взаимодействие с удаленным хостом, такие как выполнение команд на интерпретаторе PHP, исключение из списка CBL и другие, выполнялись с использованием прокси. Функция открытого прокси «демона» для рассылки спама (одного из компонентов Mumblehard), осуществляемая через TCP-порт 39331, использовалась для маскировки источника запроса. Управляющая панель ботнета, проверяя доступность всех прокси, показала наличие жертв вредоносной программы в 63 странах мира.
Закрыв сервер Mumblehard 29 февраля 2016 года, Киберполиция Украины заменила его на псевдокомандный сервер, управляемый ESET. Такими образом в течении марта была собрана информация об угрозе. Согласно полученным данным были инфицированы около 4000 систем Linux, после чего число зараженных компьютеров стало медленно уменьшаться. В свою очередь, компания CERT-Bund начала уведомлять об угрозе заражения пострадавшие организации.
В связи с высокой активностью угрозы Mumblehard специалисты ESET рекомендуют использовать актуальные версии веб-приложений, а также сильные пароли к учетным записям администратора. В случаи выявления факта заражения системы следует выполнить рекомендации, приведенные по ссылке.
После обезвреживания ботнета новые вредоносные программы семейства Mumblehard или виды их деятельности обнаружены не были.