Швейцарская CERT нарушила деятельность ботнета Tofsee

Команда реагирования на компьютерные инциденты Швейцарии (GovCERT) совместно с администратором доменной зоны (.ch) SWITCH заблокировала порядка 520 доменов верхнего уровня, используемых ботнетом Tofsee в качестве доменов управляющих серверов.

По данным BleepingComputer, экспертам удалось взломать DGA-алгоритм Tofsee - динамический алгоритм ежедневно генерирующий новые уникальные URL, к которым устройства, инфицированные вредоносным ПО Tofsee, обращались за новыми инструкциями. По данным специалистов, новые версии вредоноса ежедневно генерировали 20 произвольных доменов - 10 регистрировались в зоне .ch, еще 10 - в зоне .biz. В результате реверс-инжиниринга алгоритма DGA эксперты получили доступ к списку доменов и смогли прогнозировать, который из них и когда будет использоваться для вредоносной деятельности.

На основе предоставленных командой GovCERT данных специалисты SWITCH сформировали черный список, предотвращающий регистрацию указанных доменов. Поскольку воспрепятствовать использованию операторами Tofsee доменных имен .biz не представляется возможным, GovCERT опубликовала список всех доменов на своем сайте, что позволит интернет-провайдерам и компаниям, специализирующимся на кибербезопасности блокировать передаваемый с данных сайтов трафик.

Впервые о сравнительно небольшом ботнете Tofsee стало известно в 2013 году. Название ботнета является производным от вредоносного ПО, используемого злоумышленниками для заражения пользовательских систем. В сентябре 2016 года исследователи Cisco Talos заметили рост активности Tofsee и стремительное увеличение интенсивности рассылок спама, содержащего вредоносные вложения.