Компания Microsoft чувствует свою ответственность за безопасность миллионов пользователей по всему миру, которые установили операционную систему Windows, а затем подхватили вирус и стали частью ботнета. Компания может удалённо зайти на их компьютеры и принудительно очистить их, но этого недостаточно, чтобы исключить заражение в будущем. Здесь нужен системный подход и неординарные меры.

В данный момент под контролем Microsoft находятся десять крупнейших ботнетов в интернете с десятками миллионов ничего не подозревающих пользователей. Об этом на конференции по безопасности Sector в Торонто рассказал Тим Рейнс (Tim Rains), главный советник по безопасности в подразделении Microsoft Worldwide Cybersecurity & Data Protection.

Тим Рейнс добавил, что захват контроля над ботнетами — часть стратегии, которая должна также обезопасить организации, использующие облачный хостинг Azure.

Он говорит, что для перевода под свой контроль командных серверов приходится применять креативные действия. Чтобы добиться решения суда, Microsoft использует тот факт, что ботнеты, среди всего прочего, рассылают спам с предложением купить пиратские копии программного обеспечения Microsoft. Поэтому компания в суде выдвигает аргумент о нарушении торговой марки. На этом основании она просит временно приостановить работу сервера и передать его под её контроль, чтобы остановить рассылку спама и дальнейшее неправомерное использование торговой марки. Судья даёт согласие и передаёт дело в открытый суд, где владелец сервера может оспорить решение и вернуть себе контроль. Естественно, владельцы ботнетов никогда не появляются в суде и не собираются ничего оспаривать.

Такой хитрый трюк Microsoft применила несколько раз за последние годы, сказал Рейнс. Теперь под контролем компании находится десять крупнейших ботнетов в интернете, в которые входит 60-70 миллионов компьютеров, включая известные ботнеты Zeus и Rustock.

Что происходит дальше? Вместо DDoS-атак, рассылки спама и вредоносного программного обеспечения Microsoft использует ботнеты для мониторинга заражённых систем. Боты связываются с командными серверами, ожидая получения новых команд, так что Microsoft знает IP-адреса заражённых компьютеров. Это ценная информация для компаний и государственных организаций, которые хотят знать, скомпрометированы ли рабочие компьютеры их сотрудников.

Microsoft не занимается такими расследованиями, но загрузила список IP-адресов в облако Azure и подключила его к программным интерфейсам Azure Active Directory, так что у пользователей облачного сервиса теперь выводится сообщение, если какой-то из их IP-адресов входит в список с заражёнными компьютерами.

Интернет-провайдеры тоже могут использовать новый сервис от Microsoft, вычисляя своих заражённых пользователей и ограничивая им доступ в интернет, пока те не установят антивирусный софт.

Тим Рейнс объяснил, что Microsoft могла бы просто отключить командные серверы и уничтожить ботнеты, но не делает этого из заботы о пользователях. Дело в том, что если человек допустил заражение своего компьютера однажды, то это произойдёт повторно, если он не установит антивирус и обновления Windows, поэтому компания продолжает мониторинг, чтобы убедиться в защищённости своих пользователей.

Кроме контроля над ботнетами, сказал Рейнс, компания Microsoft покупает на подпольных форумах у хакеров базы данных с украденными паролями, которые тоже обычно собраны с помощью ботнетов. Иногда такие базы достаются в результате операций правоохранительных органов: в прошлом году накрыли криминальную группировку, во владении которой был файл с более чем 1 миллиардом паролей. Всё это богатство тоже загружают в Azure Active Directory для информирования пострадавших пользователей.

Microsoft — одна из немногих компаний, которая ведёт реальную борьбу против киберпреступности не только в онлайне, но и в офлайновом мире, помогая проводить облавы агентам ФБР, Европола и полиции в разных странах мира.