Microsoft, Europol in FBI oslabili botnet ZeroAccess
Matej Huš
7. dec 2013 ob 16:28:08
Microsoft je v sodelovanju z Europolom, policijski enotami za boj proti računalniškemu kriminalu iz Nemčije, Latvije, Luksemburga, Švice in Nizozemske in ameriškim FBI-jem pomembno oslabil botnet ZeroAccess, ki je v različnih oblikah prisoten že od leta 2009. V moderni obliki naj bi mesečno povzročil vsak 2,7 milijona dolarjev škode, okužil pa je več kot dva milijona računalnikov.
Microsoftova enota za boj proti kriminalu (Digital Crime Unit ali DCU) že dlje časa uspešno sodeluje z organi pregona, ki jim nudi strokovno podporo pri identificiranju in zasegu strežnikov ter njihovi izsleditvi. V preteklosti so tako že uspešno demontirali botnete Rustock, Nitol in delno Zeus, če omenimo le največje. Ta teden je Microsoft na sodišče vložil civilno tožbo zoper neznane storilce upravljavce botneta ZeroAccess, sodišče pa je nato z odredbo dovolilo blokado prometa med računalniki, ki krmilijo botnet, in ZDA (tehnologijo za to dobavlja A10 Networks). Hkrati je v Evropi in ZDA stekla akcija, v okviru katere so identificirali 18 krmilno-nadzornih strežnikov (C&C servers), ki so upravljali okužene računalnike v botnetu, ter jih zasegli. Europol je v izjavi za javnost povedal, da so v akciji sodelovali s svojim European Cybercrime Centrom (EC3), Microsoft pa z DCU.
Kljub temu ZeroAccess še ni dokončno uničen. Botnet, ki je začel precej skromno kot podpora za ostale zlikovce v letu 2009 z možnostjo nalaganja škodljive programske opreme na računalnike uporabnikov, je namreč v štirih letih precej napredoval. Ukvarja se s prevaro click fraud, saj okuženim računalnikom pri iskanju podtika svoje rezultate, hkrati pa simulira klikanje po oglasih, čeprav uporabnik tega ne stori, s čimer povzroča škodo oglaševalcem. Yahoo, Bing in Google naj bi mesečno stal 2,7 milijona dolarjev. Danes z ZeroAccessom okuženi računalniki med seboj komunicirajo neposredno prek sistema P2P (peer-to-peer), kar pomeni, da botnet ostane aktiven, četudi oblasti zasežejo vse vrhovne nadzorne strežnike. Točno to se je zgodilo. ZAccess oziroma Sirefef, kot se botnet še imenuje, še vedno brca. Le nekaj ur po raciji so namreč okuženi računalniki prejeli nov paket (payload), in sicer poimenovan WHITE FLAG. Kljub temu akcija ni povsem zaman, saj bodo iz lokacij strežnikov poizkusili razvozlati, kdo stoji za botnetom.