Курьёзная история вышла с попытками разгадать загадки “фундаментальных” зловредов Flame и Gauss – вредоносной программы, крадущей данные пользователей для платёжных систем и банковских сервисов: две компании, занимающиеся вопросами сетевой безопасности, буквально “сшиблись лбами”.

Некоторое время назад “Лаборатория Касперского” объявила о наличии сходства в коде Flame и Gauss, предположив, что обе вредоносные программы по существу являются одного поля ягодами.

Компания FireEye, известная по совместной с Microsoft операцией по уничтожению ботнета Grum (жаль, не полному и не окончательному), опубликовала результаты своего исследования, из которого следовало, что владельцы Gauss теперь используют в качестве командного центра тот сервер с тем же IP-адресом, на котором располагается CnC (командный сервер) Flame.

– Ранее “Лаборатория Касперского” обнаружила любопытное сходство в коде между Gauss и Flame, но последние события окончательно доказывают, что и за Gauss, и за Flame стоят одни и те же люди, – говорилось в заявлении FireEye.

“Мы, конечно, очень извиняемся, но вообще-то это наш sinkhole-сервер”, – таков был общий смысл встречного заявления “Лаборатории Касперского”.

– После обнаружения Guass мы приступили к работе с несколькими организациями с целью исследования его контрольных серверов, используя метод Sinkhole, – заявил ведущий эксперт “Лаборатории” Александр Гостев изданию Ars Technica.

С помощью этого метода “Лаборатория” уже дважды “угоняла” у владельцев ботнеты семейства Kelihos. Если упрощённо, речь идёт о внедрении в инфраструктуру ботнета поддельных контрольных серверов, которые “боты” начинают воспринимать как основные. Таким образом, контроль над ботнетом оказывается возможным перехватить полностью.

– Учитывая связь между Flame и Gauss, мы использовали sinkhole-инструментарий для наблюдения за инфраструктурами обоих ботнетов. Необходимо отметить, что структура контрольных серверов Gauss радикально отличается от структуры Flame. Контрольные центры Gauss были отключены его операторами в июле и с тех пор пребывают в “спящем” состоянии. Мы, однако, хотели пронаблюдать за происходящим в обоих ботнетах. В ходе процесса подготовки мы проинформировали о создании наших sinkhole-маршрутизаторов и их IP-адресах доверенных членов сообщества, занимающегося вопросами безопасности, чтобы они были в курсе всех предпринимаемых шагов. Пост FireEye, рассказывающий о ботах Gauss, связывающихся с тем же сервером, что и Flame, описывает, на самом деле, наш sinkhole-маршрутизатор.

Небольшой поиск в Google и Whois позволил бы это всё проверить, – добавил Гостев.

FireEye довольно оперативно опубликовали извинения по поводу случившегося недоразумения. Обознались, дескать.