В понедельник, 30 июня, Microsoft в рамках закона предприняла шаги против вредоносной сети, которая объединяла 7,4 млн. зараженных компьютеров, работающих на базе Windows, по всему миру. После того, как Microsoft захватила 23 доменных имени, прервалась работа миллионов легитимных серверов, использующих DDNS от фирмы No-IP, которая принадлежит компании Vitalwerks Internet Solutions.
По словам главы юридического отдела подразделения Microsoft по борьбе с киберпреступностью (Microsoft Digital Crimes Unit) Ричарда Домингеса Босковича (Richard Domingues Boscovich), эти доменные имена использовались вредоносным ПО, созданном в странах Среднего Востока и Африки.
Сервис DDNS от No-IP.com преобразовывает динамические IP-адреса пользователей в кастомизированные поддомены No-IP (например, yourhost.no-ip.org или yourhost.no-ip.biz). Этот механизм позволяет пользователям подключаться к системе, IP-адрес которой использует статический поддомен. Этот сервис, безусловно, очень удобный, однако в случае с компанией из Невады, хакеры злоупотребляли доменами. Используя DDNS от No-IP, преступникам удалось заразить миллионы компьютеров по всему миру.
Microsoft осуществляла операцию по уничтожению вредоносной сети, руководствуясь ордером, выданным федеральным судом Невады. В ходе кампании исследователи обнаружили два семейства вредоносного ПО – Bladabindi и Jenxcus, которые использовали учетные записи в No-IP для коммуникации со своими разработчиками.
“Несмотря на многочисленные отчеты сообщества безопасности о злоупотреблении No-IP, компания не приняла достаточных мер для исправления, восстановления и предотвращения злоупотребления для того, чтобы обезопасить свои домены от вредоносной активности”, – говорится в сообщении Босковича. В свою очередь, представительница No-IP Натали Гоген (Natalie Goguen) заявила, что “Microsoft никогда не связывалась с компанией и не просила блокировать какие-либо поддомены, хотя у No-IP есть открытые линии связи с руководством Microsoft”. (Microsoft/NovostIT)