Сплоченность ФБР и ИБ-компаний: история ликвидации ботнета IPStorm

Как программист превратил 3 000 устройств в многомиллионный бизнес.


omkxbi0nr3h4uuznb7ino0uv9jf3oj72.jpg


ФБР ликвидировало ботнет IPStorm и его инфраструктуру после того, как в сентябре владелец IPStorm заключил сделку со следствием. Министерство юстиции США заявило о демонтаже инфраструктуры ботнета IPStorm, поразившим тысячи устройств на Linux, Mac и Android по всей Азии, Европе, Северной и Южной Америке.

Ботнет впервые был замечен исследователями в июне 2019 года, преимущественно нацеленный на системы Windows. Он привлек внимание специалистов использованием IPFS -протокола для коммуникации с зараженными системами и передачи команд. Отмечается, что количество зараженных систем выросло с около 3 000 в мае 2019 года до более 13 500 к 2020 году.

Минюст США сообщил, что владелец ботнета 18 сентября признал себя виновным по трем обвинениям в хакерстве, каждое из которых предусматривает максимальное наказание в 10 лет тюремного заключения. По данным Минюста, подсудимый разрабатывал и распространял вредоносное ПО с июня 2019 года по декабрь 2022 года, заражая тысячи подключенных к Интернету устройств по всему миру.

Основной целью ботнета было превращение зараженных устройств в прокси-серверы, доступ к которым предоставлялся через собственные веб-сайты владельца. За доступ к управлению зараженными устройствами клиенты платили сотни долларов в месяц. Сам преступник сообщил властям, что заработал от своей схемы не менее $550 000 и согласился передать всю заработанную криптовалюту, связанную с ботнетом. Минюст отключил инфраструктуру IPStorm, но не стал удалять вредоносное ПО с зараженных устройств — такое действие ФБР в предыдущих операциях демонтажа ботнетов вызывало споры.

Расследование проводило ФБР в Пуэрто-Рико, Доминиканской Республике и Испании совместно с местными правоохранительными органами. Также компании Anomali Threat Research и Bitdefender оказали помощь в раскрытии дела. Расследование стало еще одним примером успешного сотрудничества правоохранительных органов и частного сектора кибербезопасности в борьбе с незаконной деятельностью и привлечении виновных к ответственности.