ISP odcięte od Internetu po zagrożeniach bezpieczeństwa

Amerykański dostawca usług internetowych podejrzewany o pomoc cyberprzestępcom w oszustwach internetowych i umieszczaniu pornografii dziecięcej został co najmniej częściowo odcięty od Internetu we wtorek wieczorem.

ISP (dostawca usług internetowych), McColo, był pod czujne oko analityków bezpieczeństwa komputerowego od lat. Jest to jeden z niewielu tak zwanych "kuloodpornych" dostawców hostingu, które zapewniają bezpieczną przystań online dla cyberprzestępców sprzedających Viagrę i fałszywe oprogramowanie zabezpieczające.

Dostawcy usług internetowych mogą łączyć się ze sobą, aby wymieniać ruch internetowy, praktykę znaną jako "peering". " Hurricane Electric, ISP, który przewoził część ruchu McColo, rozłączony z McColo we wtorek wieczorem. Global Crossing, dostawca usług sieciowych IP (Internet Protocol) również połączył się z McColo, nie komentował.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

"Wszystko co mogę powiedzieć, to że komunikujemy się i przestrzegamy w pełni z prawnymi władzami, ale nie komentujemy indywidualnych klientów i pojedynczych incydentów "- powiedział Richard Larris, starszy menedżer ds. relacji z mediami w Global Crossing.

Zamknięcie zbiega się z nowym nowym raportem autorstwa kilku badaczy bezpieczeństwa komputerowego, którzy szczegółowo opisują, w jaki sposób McColo i inni podejrzliwi usługodawcy są powiązani ze spamem i cyberprzestępczością.

Zamknięcie McColo "pokazuje, że kiedy przedstawiono odpowiednie dowody działalności kryminalnej, społeczność internetowa może doprowadzić do powstania pozytywnych sił niezbędnych do jej usunięcia" - napisali analitycy.

McColo, którego serwery znajdowały się na terenie USA, w tym samym czasie hostował do 40 witryn z dziecięcą pornografią, raport powiedział.

McColo odegrał też dużą rolę w dystrybucji spamu bution, powiedział Richard Cox, CIO w Spamhaus, który śledzi operacje spamowania. To hostował witryny sieci Web, które mogły zainfekować komputery użytkowników złośliwym oprogramowaniem służącym do wysyłania spamu.

Zhakowane komputery stają się częścią botnetu lub sieci komputerów, które mogą być używane do wysyłania spamu lub atakowania innych witryn sieci Web.

McColo gościło tak zwane serwery kontroli i kontroli dla botnetów, które służą do instruowania komputerów, aby wysyłały spam. Według raportu, botnety obejmowały Rustocka, Srizbi, Pushdo / Cutwaila, Ozdoka / Mega-D i Ghega.

Kiedy otrzymywały skargi, McColo przesuwał się wokół podejrzanych stron internetowych w swojej sieci i próbował wymazać ślady złego postępowania, Cox powiedział.

"Zasadniczo, wielu z tych dostawców wie, co robią ich klienci i próbują je chronić" - powiedział Cox.

Analitycy przewidują spadek aktywności spamu i botnetów, podczas gdy McColo jest w trybie offline. Joe Stewart, dyrektor ds. Badań nad złośliwym oprogramowaniem dla SecureWorks, powiedział w środę, że otrzymał tylko jedną wiadomość spamową z botnetu Rustock, podczas gdy w normalny dzień może dostać nawet 20

śmierci McColo idzie "być miłym" o windykacji dla wielu badaczy, którzy od lat skarżą się na McColo i dlaczego organy ścigania nic nie robią, "powiedział Stewart.

Firma SecureWorks śledziła złą działalność w McColo, ale organy ścigania zawsze były" Mówiąc krótko: "o śledztwach, powiedział.

Ale to może potrwać zaledwie kilka dni, zanim ci, którzy korzystają z usług hostingowych od McColo znajdą innych kuloodpornych hosterów. "Na forach hakerskich, na forach spamerów, są wszyscy, którzy chcą być McCollami," powiedział Stewart.

W rzeczywistości, zła aktywność w McColo wzrosła po zamknięciu we wrześniu Intercage, firmy hostingowej z Kalifornii znanej również jako Atrivo, powiedział Cox. Dostawcy usług w segmencie wewnętrznym przestali przenosić ruch po wielu latach skarg, że dostawca usług internetowych obsługuje spam i szkodliwe witryny sieci Web.

Zwiększona aktywność McColo spowodowała, że ​​spamerzy właśnie przenieśli się z Intercage do tego miejsca i prawdopodobnie będą się szybko poruszać, powiedział Cox. Według Coxa, cyberprzestępcy prawdopodobnie mają strony internetowe "w gotowości", gotowe do pracy z innymi dostawcami usług, aby pozostać w biznesie, powiedział Cox.

The Washington Post poinformował, że serwery McColo znajdują się w San Jose w Kalifornii. Strona internetowa ISP zawiera adres pocztowy w Delaware. Nie powiodły się próby dotarcia do McColo przez numer w okolicach Nowego Jorku.