Rikollisverkko taas henkihieveriin, mutta ei kuole
0
Kuva: FireEye.
Rikollisten käyttämät botnet-verkot ovat sitkeitä ja vaikeasti tuhottavia. Tietoturvayhtiö yritti tappaa jo kolmatta kertaa Cutwailin, joka on yksi maailman tunnetuimmista botnet-verkoista. Vaikka Cutwailia saatiin vahingoitettua pahasti, sitä ei saada hengiltä. Yksi syy on Kiina.
Rikolliset rakentavat botnet-verkkoja yleensä kaapatuista Windows-koneista, joiden tietoturva ei ole riittävällä tasolla. Verkkoja käytetään sitten roskapostin lähettämiseen ja muihin rikollisiin toimiin.
Symantecin aiemman raportin mukaan Cutwail on roskapostin lähetyksessä maailman kolmanneksi pahin botnet-verkko.
Cutwail porskuttaa kolmenkin iskun jälkeen
Ensimmäistä kertaa Cutwailia (tunnetaan myös nimellä Pushdo) vastaan iskettiin marraskuussa 2008, kun yhdysvaltalainen McColo-rikollisoperaattori poistettiin netistä. Samalla pimenivät Cutwailin ohjauspalvelimet. Rikolliset kuitenkin siirsivät ohjauspalvelimiaan toisaalle.
Aiemmin tänä vuonna tietoturvayhtiö FireEye löysi joitakin Cutwailin ohjauspalvelimia ja sai sammutettua niitä. Yhtiö kertoo, että rikolliset yllättyivät tästä siinä määrin, että hylkäsivät loputkin palvelimet ja lopettivat toimintansa muutamiksi viikoiksi. Myöhemmin toiminta kuitenkin jatkui.
Nyt tietoturvayhtiö LastLine on yrittänyt vielä laajempaa operaatiota kaikkien Cutwailin ohjauspalvelimien sammuttamiseksi. Yhtiö löysi yli 30 verkon ohjauspalvelinta, ja niistä lähetettiin sammutuspyynnöt teleoperaattoreille.
Suurin ongelma: rikollisia tukevat operaattorit
Tämäkään operaatio ei täysin onnistunut. LastLine sai sammutetuksi vajaat 20 palvelinta, mutta reilut kymmenen palvelinta jäi toimintaan. Osa operaattoreista on rikollisten puolella ja tarjoaa heille varmaa palvelinten toimintaa parempaa maksua vastaan. LastLinen mukaan erityisesti kiinalaiset operaattorit jättivät Cutwail-palvelimet rauhaan.
Cutwail-verkon toiminta on heikentynyt, mutta ei loppunut. Verkko on ainakin väliaikaisesti heikompi, mutta rikolliset saattavat korvata sammutetut palvelimet uusilla. Jos botnet-verkko haluttaisiin ajaa kokonaan alas, pitäisi verkon kaikki ohjauspalvelimet sammuttaa kerralla.
