Botnet Kelihos żyje i broni rosyjskiej racji stanu. Polska także zagrożona
Eksperci z firmy Bitdefender odkryli kolejne ważne zagrożenie dla bezpieczeństwa internautów. Według przeprowadzonego przez nich śledztwa, do sił wraca botnet Kelihos, znany także jako Hlux. Tym razem sprawa może być o tyle ciekawa, że ataki z zainfekowanych komputerów są wymierzone w serwery rządowe. Według przedstawicieli Bitdefendera komputery będące częścią botnetu znajdują się także w Polsce.
W ciągu ostatnich czterech lat informacje o unieszkodliwieniu Kelihosa pojawiały się kilkukrotnie. Szczególnie zaangażowany w walkę z nim był Microsoft, który zresztą już w 2011 roku chwalił się likwidacją sieci. Nowa wersja pojawiła się już rok później i służyła między innymi do rozsyłania spamu. Aktualnie po zainfekowaniu komputera zostaje on także wykorzystany do atakowania serwerów rządów przeciwnych polityce zagranicznej Rosji.
Co ciekawe, programiści odpowiedzialni za rozsyłanie złośliwego oprogramowania po części nie kryją się szczególnie ze swoją działalnością. Według rosyjskich ekspertów z Bitdefender, niektóre ze szkodliwych wiadomości posiadały następującą treść:
My, grupa programistów z Federacji Rosyjskiej, jesteśmy zaniepokojeni nieuzasadnionymi sankcjami, które USA wprowadziło przeciwko naszemu krajowi. Przygotowaliśmy swoją odpowiedź, niżej można znaleźć odnośnik do napisanego przez nas programu.Otwórz go na swoim komputerze, a będzie on dyskretnie atakował struktury rządowe państw, który wprowadziły sankcje. Program nie obciąża komputera, zużywa nie więcej niż 10% przepustowości połączenia i 10 MB ruchu dziennego, nie wykorzystuje mocy obliczeniowej procesora. Po ponownym uruchomieniu komputera, program kończy swoje działanie i jeśli chcesz, możesz go uruchomić ponownie.Razem jesteśmy siłą.W miarę możliwości wyłącz tymczasowo swój program antywirusowy.
Trzeba przyznać, że treść wiadomości brzmi mało poważnie. Wygląda na to, że wiara rosyjskich programistów w swoją rację stanu jest niezachwiania i pozwala im wierzyć, że ktoś dobrowolnie zainfekuje swój komputer w imię rosyjskiej polityki zagranicznej. Po kliknięciu w link rozpoczyna się pobieranie pliku wykonywalnego, który łączy się z zewnętrznym serwerem i jest zdolny między innymi wysyłać zaszyfrowane komunikaty do innych komputerów w botnecie, rozsyłać spam czy pobierać i uruchamiać inne szkodliwe pliki.
Hakerom w pewnym stopniu udało się zrealizować swój cel: najwięcej (ponad 22 tysiące) zainfekowanych komputerów znajduje się na Ukrainie. Polska znajduje się na dziesiątym miejscu – do botnetu zostało podłączonych już niemal tysiąc komputerów. Biorąc pod uwagę treść rozsyłanych wiadomości, można się spodziewać, że nie jest to jedyna forma dystrybucji szkodliwego oprogramowania. W związku z tym zaleca się zachowanie szczególnej ostrożności wobec wszystkich podejrzanych wiadomości i zaktualizowanie programu antywirusowego.
