Українська команда з розподілених обчислень

Примерно в начале ноября специалисты по безопасности заметили необычное поведение ботнетов. Они начали координированную работу по медленному перебору логинов и паролей к самым разным хостам. Специалисты называют это «медленным брутфорсом», потому что скорость перебора паролей крайне мала (нужно перебрать все комбинации паролей для всех возможных логинов по словарю) — этот процесс займёт несколько лет. Но за счёт огромного числа машин, участвующих в «атаке», дело всё-таки постепенно продвигается — каждый день злоумышленники получают какой-то «улов». Запросы идут с разных IP (см. логи). Атака явно координируется из общего центра (у ботов есть общий словарь для перебора вариантов).

К настоящему моменту ботнеты перебрали уже больше половины словаря и дошли до буквы ”o”. Чем это закончится и кто стоит за странной активностью — пока не совсем понятно. Также неясно, почему злоумышленники не трогают машины под OpenBSD.

Ясно только одно: в последнее время активность ботнетов претерпела изменения. Уменьшилось количество попыток подбора пароля для каждого логина с 10-15 до 1-4. Специалисты считают, что причиной этого может стать перераспределение ресурсов в ботнете. Боты динамически переключаются с более сложных целей на более простые и перераспределяют ресурсы.

Поиск в интернете информации о медленном брутфорсе показывает, что первые признаки были замечены ещё в мае 2008 года. Проанализировать неизвестного противника можно только если объединить логи от разных сервисов, на которых присутствует активность этих ботов.