Näin tuhottiin hyökkäysverkko – vaikka rikolliset taistelivat
0
Maailman kolmanneksi suurin botnet-hyökkäysverkko Grum on tuhottu, kertovat turvatutkijat. Vaikutus näkyi heti maailman roskapostissa, jonka määrä laski viidenneksellä. Grum-verkon tappaminen ei ollut helppoa, sillä rikolliset taistelivat vastaan.
Grum-verkon tuhoamista johti tietoturvayhtiö FireEye. Yhtiö kertoo toimineensa yhteistyössä Spamhaus-organisaation ja Venäjän Cert-Gib-organisaation kanssa.
Hyökkäysverkko koostuu haittaohjelmalla saastutuista tietokoneista, joita Grumin tapauksessa on yli 120 000. Rikolliset ovat lähettäneet niiltä roskapostia koneiden omistajien tietämättä. FireEyen mukaan Grum on viime aikoina tuottanut noin 18 prosenttia maailman roskapostista.
Operaatio Panamassa, Hollannissa, Venäjällä, Ukrainassa
Botnet-verkon pystyy tappamaan, jos kaikki sen ohjauspalvelimet saadaan suljettua. Vaikka haittaohjelma jääkin uhrikoneille, rikolliset eivät enää pysty antamaan niille käskyjä.
Tämän takia rikolliset pitävät palvelimiaan maissa, joissa niitä on vaikea sulkea. FireEye kertoo, että Grumin ohjauspalvelimia oli esimerkiksi Panamassa ja Venäjällä.
Panaman palvelin saatiin suljettua kansainvälisen painostuksen avulla tämän viikon tiistaina. Jo aiemmin oli saatu suljettua Hollannissa olleita palvelimia, joten jäljelle jäi enää yksi ohjauspalvelin Venäjällä.
Rikolliset taistelivat vastaan
FireEye kertoo, että rikolliset eivät kuitenkaan halunneet luopua rahantekovälineestään näin helposti. He alkoivat taistella vastaan pystyttämällä uusia ohjauspalvelimia Ukrainaan, jossa niiden sammuttaminen on vaikeaa.
Eri tahojen avulla Venäjän ja Ukrainan palvelimia alettiin kuitenkin saada kiinni. Yhteys kaikkiin palvelimiin saatiin poikki eilen keskiviikkona.
Operaatio oli erityisen hankala Venäjällä. Ohjauspalvelimen nettiliikenteen välittävä operaattori ei suostunut sulkemaan yhteyttä. Operaatiossa otettiin kuitenkin yhteyttä suurempaan teleoperaattoriin, joka välitti runkoyhteyden tälle pienemmälle operaattorille. Yhteys rikollispalvelimen ip-osoitteeseen katkaistiin runkotasolla.
FireEyen mukaan operaatio lähettää rikollisille viestin, että he eivät enää voi piilotella ohjauspalvelimiaan edes Ukrainan tai Venäjän kaltaisissa maissa. Yhtiö uskoo, että jos netistä saataisiin tapettua vielä pari suurta botnet-hyökkäysverkkoa, maailman roskapostin määrä voisi laskea pysyvästi alhaisemmalle tasolle.
