В среду Министерство юстиции США объявило о ликвидации ботнета под названием DNS Changer, который на данный момент претендует на звание наиболее обширной из разрушенных за последние годы вредоносных сетей. В операции участвовали ФБР и некоторые компании, работающие в области защиты информации.

В числе последних была и Trend Micro, специалисты которой представили в корпоративном блоге подробные сведения о подавленном ботнете. По их словам, в его состав входило более 4 миллионов машин - два с небольшим размера сети Rustock, которую Microsoft и американские правоохранители "накрыли" в марте этого года. Зомби-компьютеры работали в основном под управлением Windows и Mac OS; на территории США располагалась примерно четверть от их общего количества. По словам представителей Trend Micro, мир еще не знал столь крупной и масштабной операции против киберкриминала.

Кроме производителя антивирусов, в расследовании и подготовке атаки на ботнет участвовали компании Mandiant, Neustar, Spamhaus, а также аналитическая группа по расследованию компьютерных преступлений из алабамского университета UAB (University of Alabama at Birmingham). С их помощью ФБР смогло нанести удар по ядру вредоносной сети, прекратив работу более чем 100 серверов управления и контроля, которые размещались в датацентрах Нью-Йорка и Чикаго, а также выйти на след предполагаемых операторов.

Сообщается, что Министерство юстиции считает организаторами преступной схемы семерых человек, из которых шестеро - граждане Эстонии, а седьмой является гражданином России. В общей сложности их обвиняют в 27 эпизодах мошенничества, отмывания денег и незаконного доступа к ЭВМ; предполагается, что теневой бизнес за четыре года принес операторам ботнета более 14 млн. долларов дохода. Для построения вредоносной сети использовались различные виды и семейства инфекций - в том числе и небезызвестный TDSS (Alureon).

Управляющие элементы ботнета функционировали также в качестве DNS-серверов для зомби-машин, что позволяло злоумышленникам перенаправлять пользователей на опасные сайты вместо легитимных. Бот-клиенты постоянно получали обновления для поддержания настроек DNS на инфицированных компьютерах в актуальном состоянии. Теперь, когда сеть подавлена, на освободившемся месте будут развернуты безопасные серверы DNS; федеральный суд поручил заниматься этим консорциуму ISC. Удаленная очистка пораженных машин на этот раз не планируется.