Hella
13 °C
27 °C

Lelőtték a világ legnagyobb zombihálózatát

2011.03.18. 12:04
Március 16-án délután hirtelen elhallgatott a világ legnagyobb internetes zombihálózata, a hálózatot napi több tízmilliárd kéretlen reklámlevéllel terhelő Rustock. A szakértők először óva intettek attól, hogy nagyon örüljünk, hiszen többször történt már ilyen (legutóbb tavaly karácsonykor, mint utóbb kiderült, megrendelőváltás miatt), aztán a Microsoft eloszlatta a homályt, és büszkén bejelentette, a Rustocknak vége, az FBI-jal, és több ország rendőrségeivel közös akciójában lefejezték a botnetet.

Az Operation b107 fedőnevű akcióban hét amerikai városban tartottak rajtaütéseket internetszolgáltatóknál, emellett Hollandiában és Kínában foglaltak le szervereket, amelyek a zombihálózatot irányították, ezen kívül több más irányító szervert az ip-címük blokkolásával vágtak el a hálózattól. A Rustock méreteiről eddig elég széles skálán mozogtak a becslések (150 ezer és 2,5 millió fertőzött gép közé tették a nagyságát a szakértők), a Microsoft jelentése szerint a lebukás idején nagyjából egymillió géppel üzemelt a hálózat.

Egyetlen Rustock-vírussal fertőzött számítógép napi 240 ezer email kiküldésére képes, de a hálózat sosem üzemelt a teljes kapacitását kihasználva, a zombigépek felett 45 perces szakaszokban vette át az irányítást a botnet központja. Egy-egy ilyen háromnegyed órás akcióban a fertőzött gép 7500 levelet küldött ki. Csúcsidőben a Rustock napi 40-70 milliárd emaillel járult hozzá az internet levélszemetéhez, ezzel évek óta a legnagyobb botnetnek számított.

A Rustockot ugyan a vezérlő szerverek kikapcsolásával lefejezték, de az irányítóit még nem sikerült elkapni. A Microsoft jogi úton próbálja a zombik gazdáit elkapni, és egy sor perrel fenyegeti őket, többek között arra is alapozva, hogy a spamben hirdetett termékek (jellemzően hamis, és illegális gyógyszerek) komoly egészségügyi kockázatot is jelentenek. Mivel a Microsoft bírósági végzéssel lefoglaltatta az összes ip-címet, ahonnan a Rustock gépei hajlandóak utasításokat (ezek a címek a vírus kódjában szerepelnek titkosítva) elfogadni, elvileg a botnet tetszhalott marad akkor is, ha a zombigépekről nem távolítják el a vírust. Mivel a Rustock vírusát az összes vírusirtó ismeri, de a hálózatot ennek ellenére nem sikerült 2006 óta felszámolni, ez a megoldás egyébként is reménytelennek tűnik.

Nem kizárható, hogy előbb-utóbb megjelenik a vírusnak egy új verziója, ami új vezérlőszerverek címeit adja meg a zombik számára, de a szakértők szerint valószínűbb, hogy a Rustock gazdái most jó időre csendben maradnak, mivel tudják, hogy vadásznak rájuk. Az ő kilétüket egyébként továbbra is homály fedi, bár az az eddigi információk alapján szinte biztos, hogy oroszokról, illetve az orosz alvilággal szorosan összefonódó csoportról van szó.

Mi az a botnet?

A zombihálózat vagy botnet vírussal fertőzött, távolról irányított gépek hálózata. A botgazda a gépeket a tulajdonosuk tudta nélkül manipulálja, és jellemzően spam emaileket küld ki róla nagy mennyiségben (de ilyen hálózatokat szokás túlterheléses támadásokhoz is bérbe adni). A Rustockot 2006-ban fedezték fel, a zombgépei nagy része Észak-Amerikában és Nyugat-Európában van. Főként illegális forrásból származó, hamisított gyógyszereket, potencianövelőket, drogként használt fájdalomcsillapítókat és antidepresszánsokat hirdető reklámleveleket terjesztett.