Estońskie ISP odcina serwery kontrolne dla Srizbi Botnet

Według analityków bezpieczeństwa komputerowego estoński dostawca usług internetowych, który tymczasowo hostował serwery kontroli i kontroli botnetu Srizbi, odpowiedzialny za dużą część spamu na świecie, odciął te serwery.

Starline Web Services, z siedzibą w Tallinie, stolicy Estonii, były gospodarzem czterech nazw domen zidentyfikowanych jako punkty kontrolne dla Srizbi, według naukowców z firmy bezpieczeństwa komputerowego FireEye.

Setki tysięcy komputerów na całym świecie zainfekowanych Srizbi, trudny do usunięcia rootkit, który jest używany do wysyłania spamu, został zaprogramowany do wyszukiwania nowych instrukcji od serwerów w tych domenach.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Srizbi is consi posiadał jeden z potężniejszych botnetów, z zainfekowanym co najmniej 450 000 komputerów. Szacuje się, że połowa spamu na świecie pochodziła z komputerów zainfekowanych Srizbi. Spam pozostaje dochodowy biznes dla cyberprzestępców.

Ale spamerzy stracili kontrolę nad Srizbi, gdy ISP, który wcześniej hostował swoje serwery kontroli i kontroli, został odcięty od Internetu. McColo, którego serwery mają siedzibę w San Jose w Kalifornii, został odcięty przez swoich dostawców na wcześniejszym etapie tego miesiąca po tym, jak został ujawniony przez ekspertów od bezpieczeństwa komputerowego i Washington Post.

To pozwoliło spamerom nie kontrolować komputerów zainfekowanych Srizbi. Ale kod Srizbi zawierał mechanizm awaryjny, w którym spamerzy mogliby ponownie połączyć się ze skręcanymi maszynami, gdyby taki scenariusz miał miejsce.

Algorytm w Srizbi okresowo generowałby nowe nazwy domen, w których szkodliwe oprogramowanie szukałoby nowych instrukcji, gdyby te domeny były dostępne w Internecie.. Wyposażeni w ten sam algorytm, spamerzy musieli jedynie zarejestrować odpowiednie nazwy domen i wskazać im swoje serwery.

Spamerzy potrzebowali jednak nowego usługodawcy internetowego do obsługi tych serwerów, przynajmniej na jakiś czas. Znaleźli Starline Web Services, bardzo małego dostawcę usług internetowych, ale od tego czasu dostawca również je odciął.

"Byłem usatysfakcjonowany, że te witryny zostały zamknięte," powiedział Hillar Aarelaid, dyrektor ds. Bezpieczeństwa w Estonii ds. CERT), w czwartek.

Próby skontaktowania się z usługami Starline Web Services zakończyły się niepowodzeniem. Ale Aarelaid powiedział, że CERT był w kontakcie z firmą i wydaje się reagować na skargi dotyczące nadużyć.

Starline Web Services kupuje łączność od Compic, kolejnej estońskiej firmy. Firma Compert została uznana przez CERT w Estonii za stronę internetową zawierającą szkodliwe oprogramowanie - powiedział Tarmo Randel, ekspert ds. Bezpieczeństwa informacji w organizacji.

Randel powiedział, że CERT "stale" powiadamiał Compic o złośliwym oprogramowaniu, które hostował. Compic podejmie działania w celu usunięcia witryn w zależności od tego, jak głośno krzyczymy - powiedział Randel. Compic zazwyczaj reaguje szybko, gdy CERT wysyła e-mail reklamacyjny - i kopiuje estońską policję kryminalną, powiedział Randel.

W czwartek dostawca Linuksa, Linxtelecom, wysłał wiadomość e-mail do estońskiej społeczności ISP, która powiedziała, że ​​jest planuje odciąć Compica, powiedział Randal.

Linxtelecom sprzedaje usługi tranzytu IP, które łączą lokalnych dostawców usług internetowych i operatorów telekomunikacyjnych z większymi nośnikami danych. Linxtelecom powiedział w wiadomości e-mail, że 99 procent skarg, które otrzymuje w związku z nadużyciami, jest związanych z Compic, powiedział Randel.

Urzędnik Linxtelecom powiedział, że nie wiedział o e-mailu. Compic odpowiada na skargi w ciągu dwóch dni, ale Linxtelecom w przeszłości odciął łączność ze stronami internetowymi hostowanymi przez Compic po zażaleniach, powiedział urzędnik

Eksperci ds. Bezpieczeństwa komputerów mówią, że jest garstka ISP i rejestratorów nazw domen, które ściśle współpracować z cyberprzestępcami w zakresie obsługi operacji spamowych, witryn internetowych, które sprzedają fałszywe oprogramowanie i inne oszustwa.

Operacje są trudne do zatrzymania ze względu na ich międzynarodowy charakter, szybkość, z jaką cyberprzestępcy reagują na przestoje i brak zasobów lub interesów organów ścigania.

Zamknięcie McColo nastąpiło po opublikowaniu badań, które pokazały, w jakim stopniu firma była zaangażowana Podobnie, inny znany zły dostawca usług internetowych - znany jako Atrivo lub Intercage - został we wrześniu odcięty przez swoich dostawców usług internetowych w wyniku rosnącej presji ze strony społeczności bezpieczeństwa komputerowego.

Niedawne przypadki McColo i Atrivo / Intercage zdjęte z Internetu, w przyszłości łatwiej będzie wywierać większą presję na innych znanych hostach szkodliwego oprogramowania, aby podjęli działania lub przestawili się w tryb offline ", powiedział Toralv Dirro, strateg ds. bezpieczeństwa w firmie Avert Labs firmy McAfee, w Czwartek.