Экспертам по вопросам компьютерной безопасности из компании SecureWorks совместно со специалистами проекта Spamhaus удалось идентифицировать центральный компьютерный узел, управлявший массовыми рассылками агитационных писем в конце октября этого года.
27 октября экспертами был отмечен резкий рост количества мусорных сообщений. В течение примерно трех последующих дней неизвестные злоумышленники заваливали почтовые ящики пользователей интернета письмами с предложением проголосовать на президентских выборах в США за кандидата от Республиканской партии Рона Пола. 30 октября поток сообщений оборвался столь же неожиданно, как и начался. Специалисты SecureWorks попытались отследить всю цепочку узлов, участвовавших в рассылке спама.
Проанализировав заголовки и прочие параметры писем, эксперты пришли к выводу, что они были разосланы через сеть зомбированных компьютеров, инфицированных трояном Srizbi. Согласно исследованию Symantec, Srizbi представляет собой весьма оригинальную и опасную вредоносную программу. Троян, по некоторым сведениям разработанный в России, атакует напрямую ядро операционной системы и после заражения компьютера предоставляет злоумышленникам полную свободу действий.
Идентифицировав бот-сеть, специалисты SecureWorks при поддержке провайдеров проанализировали трафик, исходивший от некоторых зараженных трояном Srizbi компьютеров, которые рассылали агитационные письма. Это позволило определить месторасположение координационного узла бот-сети, который, как выяснилось, находился в одном из дата-центров на территории Соединенных Штатов. Далее совместно с экспертами Spamhaus сотрудникам SecureWorks удалось отключить контрольную систему от Сети и получить доступ к программному коду, управлявшему массовыми рассылками.
Как оказалось, на контрольной системе применялся достаточно распространенный хакерский инструмент Reactor Mailer. Данный инструментарий управления был создан неким умельцем, скрывающимся под псевдонимом spm, который даже дал интервью российскому сайту xakep.ru. Система Reactor Mailer работает по принципу "программное обеспечение как сервис". То есть, заказчику предоставляется аккаунт на Reactor-сервере, и далее через веб-интерфейс спамер управляет процессом рассылки. Примечательно, что в случае с агитационной рассылкой на координационном сервере, помимо аккаунта spm, была только одна учетная запись - nenastnyj. Название этой записи наводит на мысль, что она создавалась человеком, знакомым с русским языком.
Эксперты отмечают, что в рассылку сообщений в поддержку Рона Пола были вовлечены около трех тысяч зомбированных машин. Сообщения отправлялись по 160 миллионам адресов, занесенных в огромную базу данных размером в 3,4 Гб. Количество писем, которые за три дня успели разослать злоумышленники, не поддается оценкам.