Minęło już kilkanaście dni od wyłączenia botnetu Rustock i na światło dzienne wyszło trochę faktów związanych z tą bezprecedensową akcją. Zebrałem szereg ciekawostek o całej akcji i botnecie Rustock i prezentuję je poniżej. W dużym skrócie – gruba i przepiękna akcja :]
- szacowana liczba zainfekowanych komputerów wynosi około 1 miliona, inne źródło donosi o liczbie ponad 300 tysięcy zainfekowanych komputerów
- z użyciem botnetu możliwe było wysyłanie ponad 30 miliardów wiadomości typu SPAM dziennie
- w roku 2010 Rustock odpowiadał za prawie połowę rozsyłanego spamu na świecie
- botnet działał od ponad 5 lat co jest wiecznością w świecie cyberprzestępców
- inicjatorem całej akcji o nazwie b107 była firma Microsoft (!), we współpracy z firmą zajmującą się cyberzagrożeniami FireEye, ekspertami z Uniwersytetu w Waszyngtonie, cyberPolicji z Holandii, chińskim CERTem oraz firmą Pfizer
- podstawowym błędem (właściciela sieci botnet), dzięki któremu całą akcję udało się sprawnie przeprowadzić był fakt, iż większość serwerów zarządzających hostowana była na terenie Stanów Zjednoczonych oraz dwa na terenie Holandii
najpewniej właściciel botnetu wybrał Stany Zjednoczone jako miejsce hostowania serwerów zarządzających gdyż część oprogramowania zwalczającego złośliwe oprogramowanie tworzy czarne listy adresów IP w oparciu o kraje, w której serwery docelowe się znajdują - Microsoft przygotowywał się do akcji przez ponad 6 miesięcy (rzecz jasna z partnerami)
- Microsoft zakupił ponad 1 500 domen (nieoficjalne źródło) na okres wielu lat, które mogły zostać użyte przez zarządzającego siecią botnet do odzyskania nad nią utraconej władzy
- zostało wyłączone ponad 100 serwerów zarządzających. W Stanach Zjednoczonych u 5ciu dostawców ISP, w 7 miastach (Kansas City, Scranton, Denver, Dallas, Chicago, Seattle, Columbus)
- średnio przez ostatnie kilka lat serwer zarządzający działał przez 251 dni, niektóre serwery działały ponad rok
- botnet w miarę upływu czasu ewaluował ale od początku posiadał interesujące utrudnienia techniczne, posiadał np. swój własny downloader, silnik nie był zwykłym plikiem .exe czy .dll i aby tylko rozpocząć analizę próbek złośliwego oprogramowania należało się napracować o kilogram więcej
- co ciekawe od strony prawnej po trudnościach z wyłączaniem poprzedniego botnetu przez firmę Microsoft, tym razem prawnicy podeszli do sprawy zupełnie inaczej. We współpracy z firmą Pfizer (producent i właściciel marki Viagra), powołali się na Lanham Act, dzięki któremu oskarżyli botnet o używanie niezgodne z prawem nazwy Viagra w spamujących reklamach , podobnie została użyta marka Microsoft w fałszywych mailach dotyczących rzekomej loterii. Dzięki temu, iż jest to działanie nielegalne możliwe było zajęcie i wyłącznie serwerów zarządzających siecią botnet!
Dodaj komentarz