Sikerült lefejezni az egyik legnagyobb kártékony hálózatot

A fertőzött számítógépek szaporodásával a botnetek terjeszkedése is töretlenül zajlik. A zombi rendszerekből felépülő hálózatok elleni küzdelem korántsem egyszerű feladat. Az IT valamint a biztonsági vállalatok, és természetesen a hatóságok nemzetközi összefogása nélkül tulajdonképpen reménytelen lenne ezek felszámolása. Az elmúlt években több jelentősebb botnet megbénításának lehettünk tanúi, azonban ezek a sikerek eddig szinte kivétel nélkül átmenetinek bizonyultak. A kiberbűnözőknek ugyanis vagy sikerült újra életet lehelniük a botnetekbe, vagy egész egyszerűen újabb hálózatokat építettek fel.

A legutóbbi, botnet ellenes akcióra szerdán került sor. Először sok biztonsági cég csak azt vette észre, hogy a Rustock spammelési aktivitása hirtelen lecsökkent, majd megszűnt. Mostanra kiderült, hogy egy nemzetközi együttműködés keretében sikerült kihúzni a hálózat méregfogát. Az akcióban kulcsszerepet vállalt a Microsoft, amelyet a Washington Egyetem valamint a Pfizer szakértői is segítettek. Ezek mellett a holland rendőrség és egyes kínai hatóságok is bekapcsolódtak a végül igencsak nagyszabásúra sikerült akcióba. Elsősorban amerikai internet szolgáltatóknál sikerült olyan szervereket lefoglalni, amelyek részt vettek a Rustock működtetésében, de a holland rendőrség is sikerrel járt a kártékony célokat szolgáló kiszolgálók lefülelésében. A kínai hatóságok közreműködésére pedig azért volt szükség, mert nélkülük nem lehetett volna hatékonyan megakadályozni, hogy a botnet rövid időn belül újraszerveződjön különféle domainek felhasználásával.

A Rustock megbénítása előtt a biztonsági szakértők több hónapon keresztül tanulmányozták a botnet működését, és bevallásuk szerint eközben meglehetősen ismeretlen területeken kalandoztak. Kiderült, hogy a Rustock egy nagyon jól szervezett hálózat, amely gyorsan képes regenerálódni. A hozzá kapcsolódó fertőzött számítógépek ugyanis egy kifinomult algoritmus alapján akkor is képesek újra csatlakozni a botnethez, ha az addigi vezérlő szerverüket valamiért "elvesztik". Ekkor ugyanis a felkeresnek egy előre meghatározott weboldalt - általában egy hírportált - és az azon megjelenő egyes tartalmak valamint különböző titkosítási eljárások alapján olyan kulcsot generálnak, amelyet aztán fel tudnak használni egy éppen működő kiszolgáló címének meghatározásához. Ez egyben azt is jelenti, hogy a Rustock mögött meghúzódó kártékony programokhoz nem tartozik egy fix címlista, ami alapján az összes olyan domaint le lehetne tiltani, melyek - akár a jövőben - részt vehetnének a botnet újjáépítésében.

Megvan a megoldás, de meddig lesz hatékony?

Úgy tűnik, hogy a Microsoft a dinamikusan generálódó szervercímek ellen megtalálta az ellenszert, és igyekszik arról is gondoskodni, hogy a fertőzött számítógépeket még azelőtt meg lehessen tisztítani, mielőtt a Rustock üzemeltetői újra hadra fognák azokat. Szakértők ugyanakkor arra figyelmeztetnek, hogy a Rustock mostani leállása hosszú távon még nem jelent biztos sikert. Annál is inkább, mivel e botnet már többször gyengült meg, legalábbis látszólag. Tavaly a globálisan terjedő spamek 47,5 százalékért volt felelőssé tehető, de voltak időszakok, amikor ez az 50 százalékot is meghaladta. Majd december közepén szinte teljesen megszűnt a spammelési tevékenysége, míg januárban ismét elkezdte ontani magából a levélszemetet. Ez azonban nem jelenti azt, hogy egy hónapig nem járult hozzá károkozásokhoz, ugyanis akkor elsősorban click-fraud alapú csalásokban kapott szerepet.

Csak óvatosan!

A Rustock elleni mostani akciót sokan üdvözölték, és mindenképpen komoly sikerként könyvelhető el. Azonban egyes szakértők óvatosságra intenek. "A Rustock eltűnése még nem jelenti feltétlenül azt, hogy teljesen leállt. Amennyiben az általa használni kívánt domainek felett újra elvesztjük a kontrollt, akkor akár néhány órán belül helyreállhat" - nyilatkozta Joe Stewart, a Dell SecureWorks kutatója. A szakember szerint tehát a látszólag felszámolt hálózatot továbbra is kontroll alatt kell tartani, és ügyelni kell arra, hogy a fertőzött számítógépek ne találhassanak maguknak új vezérlőszervereket. A szakemberek visszafogott nyilatkozatai mögött az is áll, hogy a Rustock felszámolása után nem csökkent számottevően a spam mennyisége, ami arra utal, hogy a spammerek máris más botnetek felé fordultak.