W przypadku Global Effort nowy typ robaka zostaje spowolniony

Już wcześniej pojawiły się wielkie epidemie robaków komputerowych, ale nic podobnego do Confickera.

Po raz pierwszy wykryty w listopadzie robak wkrótce zainfekował więcej komputerów niż jakikolwiek robak w ostatnich latach. Według niektórych szacunków jest teraz zainstalowany na ponad 10 milionach komputerów. Ale od pierwszego pojawienia się było dziwnie cicho. Conficker infekuje komputery i rozprzestrzenia się w sieciach, ale nie robi nic więcej. Mógłby zostać użyty do uruchomienia potężnego cyberataku, który okaleczy praktycznie każdy serwer w Internecie lub może zostać wydzierżawiony spamerom w celu wypompowania miliardów miliardów wiadomości spamowych. Zamiast tego siedzi tam, potężny silnik zniszczenia czeka na kogoś, kto przekręci klucz.

Do niedawna wielu badaczy bezpieczeństwa po prostu nie wiedziało, na co czekała sieć Conficker. Jednak w czwartek międzynarodowa koalicja ujawniła, że ​​podjęła bezprecedensowe kroki, aby utrzymać robaka w oddzieleniu od serwerów kontroli i kontroli, które mogłyby go kontrolować. Grupa składa się z badaczy bezpieczeństwa, firm technologicznych, rejestratorów nazw domen, którzy połączyli siły z Internetową Korporacją ds. Przydzielonych Nazw i Numerów (ICANN), która nadzoruje Internetowy System Nazw Domen.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Naukowcy pobrali kod Confickera i odkryli, że używa on nowej, skomplikowanej techniki, aby zadzwonić do domu po nowe instrukcje. Każdego dnia robak generuje świeżą listę około 250 losowych nazw domen, takich jak aklkanpbq.info. Następnie sprawdza te domeny pod kątem nowych instrukcji, weryfikując ich podpis kryptograficzny, aby upewnić się, że zostały utworzone przez autora Confickera.

Kiedy kod Confickera został po raz pierwszy złamany, eksperci od zabezpieczeń porwali niektóre z tych losowo wygenerowanych domen, tworząc tzw. serwery do odbierania danych z zaatakowanych maszyn i obserwowania działania robaka. Ale kiedy infekcja stała się bardziej rozpowszechniona, zaczęli rejestrować wszystkie domeny - blisko 2000 tygodniowo - i zabrać je z obiegu, zanim przestępcy zrobili sobie krzywdę. Gdyby kiedykolwiek źli próbowali zarejestrować jedną z tych domen kontroli i kontroli, stwierdziliby, że zostali już zabrani przez fikcyjną grupę nazywającą się "Conficker Cabal". Jego adres? 1 Microsoft Way, Redmond Washington.

Jest to nowy rodzaj gry w kotka i myszkę dla naukowców, ale był testowany kilka razy w ciągu ostatnich kilku miesięcy. Na przykład w listopadzie inna grupa wykorzystała tę technikę do przejęcia kontroli nad domenami używanymi przez jedną z największych na świecie sieć typu botnet, znaną jako Srizbi, odcinając ją od serwerów kontroli i kontroli.

W tysiącach domen, jednak ta taktyka może stać się czasochłonna i kosztowna. Tak więc w przypadku Confickera grupa zidentyfikowała i zablokowała nazwy za pomocą nowej techniki, która nazywa się wstępną rejestracją domeny i blokadą.

Dzieląc pracę nad identyfikacją i blokowaniem domen Confickera, grupa kontrolowała tylko robaka, nie zadał śmiertelnego ciosu, powiedział Andre DiMino, współzałożyciel The Shadowserver Foundation, grupy przestępczej zajmującej się cyberprzestępczością. "To naprawdę pierwszy kluczowy wysiłek na tym poziomie, który ma potencjał, by dokonać zasadniczej zmiany" - powiedział. "Chcielibyśmy myśleć, że wywarliśmy pewien wpływ na to, że to wyniszczyliśmy."

To jest niezbadane terytorium dla ICANN, grupy odpowiedzialnej za zarządzanie systemem adresów internetowych. W przeszłości krytykowano ICANN za powolne wykorzystywanie swojej mocy do cofania akredytacji od rejestratorów nazw domen, które były szeroko wykorzystywane przez przestępców. Ale tym razem zdobywa się pochwały za relaksujące zasady, które utrudniały blokowanie domen i łączenie uczestników grupy.

"W tym konkretnym przypadku smarowali koła, aby rzeczy poruszały się szybko," powiedział David Ulevitch, założyciel OpenDNS. "Myślę, że należy im to pochwalić … To był jeden z pierwszych momentów, kiedy ICANN naprawdę zrobiła coś pozytywnego."

Fakt, że tak różnorodna grupa organizacji współpracuje ze sobą jest niesamowity, powiedział Rick Wesson, CEO konsultingu bezpieczeństwa sieciowego Support Intelligence. "To, że Chiny i Ameryka współpracowały, aby pokonać złośliwą działalność na skalę globalną … to poważnie, to się nigdy nie wydarzyło" - powiedział.

ICANN nie oddzwonił z prośbami o komentarz do tej historii i wielu uczestników akcji Conficker, w tym Microsoft, Verisign i China Information Network Center (CNNIC) odmówiono udzielenia wywiadu w tym artykule.

Prywatnie, niektórzy uczestnicy mówią, że nie chcą zwracać uwagi na ich indywidualne wysiłki w celu zwalczania tego, co może być zorganizowane grupa cyberprzestępczości. Inni mówią, że ponieważ wysiłek jest tak nowy, przedwczesne jest przedyskutowanie taktyki.

Niezależnie od pełnej historii, stawka jest wyraźnie wysoka. Conficker został już zauważony w sieciach rządowych i wojskowych i był szczególnie groźny w sieciach korporacyjnych. Jedna pomyłka, a twórcy Confickera mogli przeprogramować swoją sieć, dając komputerowi nowy algorytm, który musiał zostać złamany i dając mu możliwość korzystania z tych komputerów w nikczemnych celach. "Musimy być w 100 procentach dokładni" - powiedział Wesson. "A bitwa to codzienna bitwa."

(Sumner Lemon w Singapurze przyczynił się do tego raportu.)