Néhány hete egyik napról a másikra sikerült nagyjából egyharmadával csökkenteni a neten keringő levélszemét mennyiségét azzal, hogy a Washington Post bloggerközösségének nyomozása után lekapcsolták a kaliforniai McColo internetszolgáltatót, ahonnan a spammaffia szerverei az internetre kapcsolódtak. A biztonsági szakértők szerint ezzel három kisebb, és az egyik legnagyobb zombihálózatot (vírussal fertőzött gépek a neten, amik a spam továbbítását végzik a felhasználóik tudta nélkül) sikerült elvágni az üzemeltetőitől.
A FireEye biztonságtechnikai cég jelentése szerint a három kisebb (a Rustock, a Cutwail és az Asprox) zombihálózat hamar újra életre kelt, a legnagyobb, a Srizbi (becslések szerint 450 ezer gép van ma a világon ezzel a vírussal megfertőzve, ebből nagyjából százezret a kaliforniai szolgáltatón át irányítottak) azonban hetekig nem hallatott magáról. A vírus kódját visszafejtve kiderült, hogy a rendszer csak egy adott doménnéven levő szervertől fogad el utasításokat. A vezérlő domén nevét időnként véletlenszerűen újragenerálja a hálózat, ilyenkor a spammaffiának annyi dolga van, hogy bejegyezteti az új nevet, és az irányító szervert, ami a zombigépekre közvetíti a kéretlen reklámlevelek szövegét és a címlistákat, erre a doménre irányítja. Ez a rendszer megakadályozza azt, hogy bármilyen címről át lehessen venni a zombisereg felett az uralmat, de azt is, hogy a szerver lefoglalásával véglegesen kiüssék az egész hálózatot.
A biztonsági szakemberek egy ideig sikerrel akadályozták meg a zombihálózat újraaktiválását azzal, hogy figyelték a vírus doménnév-generáló moduljának működését, és saját maguk jegyezték be az új vezérlő címet a hackerek előtt. Néhány napig működött is ez a stratégia, de végül a spammereknek sikerült újra megszerezni az ellenőrzést a botnet felett: egy orosz regisztercégnél jegyezték be a doménnevet és egy észt internetszolgáltató, a Starline Web Services adott helyet a vezérlő szervereknek.
A Srizbi egyelőre csak a zombigépek szoftverét frissítette, de nem küldött még ki új adag levélszemetet. Úgy néz ki, nem lesz hosszú életű az észt menedék, a helyi online bűnözés elleni hatóság, a CERT ugyanis gyorsan lépett, és máris elért addig a tallinni cégig, ahonnan a Starline bérli a sávszélességet. Ezt a céget, a Compicot már régóta figyelik a hatóságok az online bűnözőkkel feltételezett kapcsolataik miatt. Az észt internetszolgáltatók szövetsége már jelezte, hogy a Compic lekapcsolására készül (ezt egyébként a múltban már néhányszor megtették olyan illegális weboldalak miatt, amiket a Compicnél üzemeltettek).
Szakértők szerint ezek az események azt mutatják, hogy ugyan a spammerek nagyon rugalmasak, az online bűnözőkkel együttműködő internetszolgáltatók és doménregiszter cégek támadásával hatékonyan lehet fellépni ellenük.
Kövesse az Indexet Facebookon is!
Követem!
