Начало истории, вкратце:
http://www.anti-malware.ru/forum/index.php?showtopic=21983
Основная суть:
http://blogs.technet.com/b/microsoft_blog/archive/2012/03/25/microsoft-and-financial-services-industry-leaders-target-cybercriminal-operations-from-zeus-botnets.aspx
Материалы для ознакомления (заявления):
http://www.zeuslegalnotice.com/
Особенно: http://www.zeuslegalnotice.com/images/Summons.pdf
Однако, Fox-IT http://blog.fox-it.com/2012/04/12/critical-analysis-of-microsoft-operation-b71/
Самое главное:
This last part [John Does information] brings us on the most interesting part of this whole write up on operation b71, we were surprised to see the contents of the Summons.pdf and the declaration of Debenham. This includes a lot of information on actors involved within the ZeuS operations, the SpyEye author and individual SpyEye users but also completely unrelated actors. This information includes nicknames, email addresses, icq numbers and jabber addresses.
And when looking at those details we found some interesting details on some of the described john doe’s. The information therein was 100% identical to information we had supplied to a certain mailing list. This mailing list has the restriction that data being shared can only be used with the permission of the person who supplied that data. The information was in exactly the same order and contained exactly the same amount of information on those john does that we and also a friendly information security company had provided. Since the order and amount of information was 100% identical, and the data then also being used out of context and misinterpreted, meant that the person who interpreted it did not have the right background to fully understand the data.
For us this felt as a major blow as we spent a lot of time in getting this kind of information, while a corporate giant like Microsoft is now using this information without reaching out to the persons who supplied that information, for their own marketing and public relation purposes. From our end we can confirm that this information was never supplied for the purposes that Microsoft used it for. This whole action of Microsoft brings a major blow to the entire information sharing between information security companies on mailing lists and working groups.
Перевод:
http://www.anti-malware.ru/forum/index.php?showtopic=21983
Microsoft решила нанести удар (disrupt) по инфраструктуре ботнета, боты которого основаны на оригинальных кодах ZBot/SpyEye. Произошло это, конец марта, 25 число.
Основная суть:
http://blogs.technet.com/b/microsoft_blog/archive/2012/03/25/microsoft-and-financial-services-industry-leaders-target-cybercriminal-operations-from-zeus-botnets.aspx
Материалы для ознакомления (заявления):
http://www.zeuslegalnotice.com/
Особенно: http://www.zeuslegalnotice.com/images/Summons.pdf
Предполагалось, что как и в предыдущих случаях ликвидации ботнетов, MS передаст эти данные правоохранительным органам для дальнейшего расследования.
Однако, Fox-IT http://blog.fox-it.com/2012/04/12/critical-analysis-of-microsoft-operation-b71/
указала неточности (по их мнению) этой операции Microsoft. Кроме каких-то технических деталей захвата серверов и подставных доменов, они обратили внимание на информацию об обвиняемых (defendants) и откуда удалось ее получить, а также о хитросплетениях кодов ботов и их версий. Заметьте, что такая информация прежде не публиковалась. Вот этот последний пункт и заставил Microsoft объяснить сообществу, как информация из андерграунда выплыла на поверхность.
Отбросим сейчас все, что мы знаем об авторах, ботах и прочего и посмотрим на ситуацию немного под другим углом.
Фокс-ИТ пишет:
In the affidavits you can find a great deal of that information that is freely available on the Internet. It is interesting to notice that this is presented as verifiable facts just because it was available on a website or as download. These websites and documents are statements of questionable source and it goes too far to actually go into every detail of each paper, but when I was reading it I found many presented facts which I know to be incorrect. For example one of the included whitepapers states that the latest version at the time of writing in 2010 of the ZeuS Trojan would be version 1.6, which is simply false. The last ZeuS version in the major version 1, is actually 1.3.X.X which was released by the end of 2009 and further updated with fixed in the beginning of 2010. And version 1.4 was actually never really released and not for sale, but was merely the beta version for the 2.0 release which was released in 2010.
This last part [John Does information] brings us on the most interesting part of this whole write up on operation b71, we were surprised to see the contents of the Summons.pdf and the declaration of Debenham. This includes a lot of information on actors involved within the ZeuS operations, the SpyEye author and individual SpyEye users but also completely unrelated actors. This information includes nicknames, email addresses, icq numbers and jabber addresses.
And when looking at those details we found some interesting details on some of the described john doe’s. The information therein was 100% identical to information we had supplied to a certain mailing list. This mailing list has the restriction that data being shared can only be used with the permission of the person who supplied that data. The information was in exactly the same order and contained exactly the same amount of information on those john does that we and also a friendly information security company had provided. Since the order and amount of information was 100% identical, and the data then also being used out of context and misinterpreted, meant that the person who interpreted it did not have the right background to fully understand the data.
For us this felt as a major blow as we spent a lot of time in getting this kind of information, while a corporate giant like Microsoft is now using this information without reaching out to the persons who supplied that information, for their own marketing and public relation purposes. From our end we can confirm that this information was never supplied for the purposes that Microsoft used it for. This whole action of Microsoft brings a major blow to the entire information sharing between information security companies on mailing lists and working groups.
Перевод:
Эта последняя часть [имеется в виду информация о Джонах Доу] самая удивительная из всего, что было написано про операцию b71, мы были удивлены, увидев содержимое Summons.pdf и объявления Debenham. Эти части включают в себя не только много информации о действующих лицах в истории ZeuS, SpyEye, включая авторов и индивидуальных пользователей, но и совершенно не связанных с ними лиц. Эта информация включает в себя ники, адреса электронной почты, ICQ и Jabber номера и адреса.
И глядя на эти детали, мы обнаружили некоторые интересные подробности о некоторых Джонах Доу. Информация в документе была на 100% идентична той, которую мы рассылали в определенную рассылку. Этот список рассылки имеет ограничение на данные, о которых идет речь и они могут быть использованы только с согласия лица, предоставившего эти данные. Эта информация [опубликованная Microsoft] была фактически идентична и содержала точно такой же объем информации о тех же Джонах Доу, а также содержала информацию дружуственных нам компаний по информационной безопасности. Поскольку информация была идентична на 100%, а данные затем используются вне того контекста и неправильно были истолкованы, в свою очередь означает, что человек, который их интерпретировал не имел общей картины для их правильного истолкования.
Мы ощутили это как сильный удар, так как мы потратили много времени на получение такого рода информации, в то время как корпоративный гигант - Microsoft теперь использует эту информацию, не упоминая лиц, которые ее поставляли, для достижения своих маркетинговых целей, а также общественных отношений. С нашей стороны, мы можем подтвердить, что эта информация никогда не поставлялась в целях, которые Microsoft использовала для этого. Все эти действия Microsoft наносят серьезный удар по всей структуре обмена информацией между компаниями информационной безопасности в списках рассылки и рабочих групп.
Итак очевидно, что Microsoft (вернее DCU - Digital Crimes Unit) должна объяснится, что она и сделала, см
Кроме того, считается что Microsoft побежала впереди поезда предъявляя гражданские иски вышеназванным Джонам Доу.
