Kártékony hálózatot gyilkolt a Microsoft

A Microsoft és a Symantec közreműködésével sikerült megbénítani egy jelentős kiterjedésű hálózatot, amely több millió fertőzött PC-t foglalt magában.
 

A Microsoft már évek óta küzd a fertőzött számítógépekből felépülő botnet hálózatok felszámolásáért. A cégnek eddig öt sikeres akciója volt, amelyeket a MARS (Microsoft Active Response for Security) program keretében a hajtott végre, többek között a digitális bűnözés elleni csoportjának részvételével. Az elmúlt időszak sikeres fellépései nemcsak ösztönözték a cég szakembereit, hogy egy újabb káros hálózattal számoljanak le, hanem a felhalmozott tapasztalatok révén még hathatósabb fellépést tettek lehetővé. Legalábbis ezt támasztja alá az, hogy egy újabb botnet méregfogát sikerült kihúzni.

A Symantec körülbelül egy évvel ezelőtt kereste fel a Microsoftot azzal, hogy közösen számolják fel a Bamital nevű botnetet, amely a fénykorában több millió fertőzött PC-t foglalt magában. Mivel a két cég már korábban is dolgozott együtt ilyen akciók során, ezért úgy határoztak, hogy felgöngyölítik a kártékony hálózatot. A több hónapos elemzőmunka és vizsgálódás után január végén fordultak az egyik amerikai bírósághoz, hogy megteremtsék a jogi alapot a botnet irányításában alapvető szerepet betöltő kiszolgálók leállítására. Miután minden engedély meglett, több amerikai adatközpont, illetve szolgáltató bevonásával sikerült kiiktatni a vezérlőszervereket.

Mit tudott a Bamital?

A botnet elsődleges feladata az volt, hogy kattintásalapú csalások végrehajtását segítse elő. Ennek következtében a hálózat üzemeltetői jelentős hirdetési bevételekre tudtak szert tenni. Egyes hírek szerint a csalók több tízmillió dolláros bevételt könyvelhettek el az évek során.

A botnet képes volt népszerű webes keresők esetében átirányításokat végrehajtani, így a fertőzött számítógépeken a Google, a Bing és a Yahoo! keresőket használó internetezők könnyedén kártékony weboldalakra tévedhettek, amelyek vírusterjesztést vagy adatlopást szolgáltak.

Mi lesz az árván maradt számítógépekkel

A botnetek leállításakor mindig az az egyik legkritikusabb kérdés, hogy a vezérlőszerver nélkül maradt, de még mindig fertőzött számítógépeket miként lehet megszabadítani a kártékony programoktól. Ez azért is fontos kérdés, mert ha ez nem történik meg, akkor megvan az esély arra, hogy a botnet üzemeltetői újra életet tudnak lehelni a hálózatukba, például azáltal, hogy a hálózat kiépítésében szerepet játszó trójai programjukat egy újabb variánssal lefrissítik.

A Microsoft és a Symantec ezúttal is gondolt az árván maradt PC-kre. Egy olyan weboldalt hoztak létre, amely elsősorban a Bamitalhoz korábban kapcsolódó számítógépek webböngészőiben jelenhet meg. A rendszereken még meglévő károkozó ugyanis az átirányítási tevékenységét továbbra is töretlenül végzi, azonban ezentúl - a vezérlőszerverekről érkező parancsok hiányában - a Microsoft és a Symantec közös, ártalmatlan, biztonsági tanácsokat tartalmazó weboldalára vezeti a felhasználót. A két cég ingyenes eszközöket is kiadott, amelyek a Bamitalhoz tartozó kártevő eltávolítására alkalmasak.

Kik álltak a botnet mögött?

A szakemberek jelenleg is vizsgálják a lefoglalt számítógépeket, szervereket. Ezek alapján tudják majd megállapítani a botnet pontos kiterjedését, és reményeik szerint a hálózatot üzemeltető csoportokra is fény derül. Jelenleg annyit lehet tudni, hogy a leállítás pillanatában legalább 300 ezer PC-csatlakozott a botnethez. A háttérben meghúzódó csalók pedig Oroszországból, Romániából, Angliából, az USA-ból és Ausztráliából folytatták a tevékenységüket. Vagyis egy nemzetközi csoport irányította a Bamital botnetet.