Viron ISP katkaisee Srizbi Botnet -palvelimen valvontapalvelimet

Viron Internet-palveluntarjoaja, joka isännöi tilapäisesti Srizbi-botnet-komentohallintopalvelimia, joka vastaa suuresta osasta maailman roskapostia, on katkaissut nämä palvelimet tietoturvallisuuden analyytikoiden mukaan.

Viron pääkaupungissa Tallinnassa sijaitsevan Starline Web Servicesin palveluksessa oli neljä verkkotunnusta, jotka tunnistettiin Srizbin valvontapisteiksi tietoturvayhtiö FireEyen tutkijoiden mukaan.

Syyriin sairastuneita satoja tuhansia tietokoneita ympäri maailmaa, vaikeasti poistettava rootkit, jota käytetään roskapostin lähettämiseen, ohjelmoitiin etsimään uusia ohjeita kyseisillä palvelimilla.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Srizbi on consi nosti yhden tehokkaimmista botnet-verkkoista, joissa on ainakin 450 000 tietokonetta. On arvioitu, että puolet maailman roskapostista on peräisin Srizbin infektioista. Roskaposti on edelleen kannattava yritys tietoverkkorikollisille.

Mutta roskapostittajat menettivät Srizbin hallinnan, kun Internet-palveluntarjoajaan aiemmin isäntämä ISP-palvelin katkaistiin Internetistä. McColo, jonka palvelimet toimivat Kalifornian San Jose -alueella, katkaistiin sen ylävirtaoperaattoreilta aiemmin tässä kuussa tietoturva-asiantuntijoiden ja Washington Postin altistumisen jälkeen.

Se jätti roskapostin eivät pysty hallitsemaan Srizbin tartunnan saaneita tietokoneita. Mutta Srizbin koodilla oli varamekanismi, jossa roskapostittajat voisivat muodostaa yhteyden haavoittuneisiin koneisiin, jos tällainen skenaario tapahtui.

Srizbin sisältämä algoritmi synnyttäisi säännöllisesti uusia verkkotunnuksia, joissa haittaohjelma etsiisi uusia ohjeita, jos kyseiset verkkotunnukset olisivat Internetissä. Samalla algoritmilla aseistettujen roskapostittajien oli rekisteröitävä vain asianmukaiset verkkotunnukset ja osoitettava heidät palvelimiinsa.

Roskapostin lähettäjät tarvitsivat kuitenkin uuden palveluntarjoajan ylläpitää näitä palvelimia ainakin jonkin aikaa. He löysivät Starline Web Services -palvelun, joka on hyvin pieni Internet-palveluntarjoaja, mutta palveluntarjoaja on sittemmin myös katkaissut ne.

"Olin tyytyväinen siihen, että kyseiset sivustot suljettiin", totesi Virossa Computer Emergency Response Team -yhtiön tietoturvapäällikkö Hillar Aarelaid (CERT), torstaina.

Yritetään ottaa yhteyttä Starline-verkkopalveluihin epäonnistui. Mutta Aarelaid sanoi, että CERT on ollut yhteydessä yritykseen, ja se näyttäisi vastaavan väärinkäytöksiä koskeviin valituksiin.

Starline Web Services ostaa yhteydet Compicilta, toisesta virolaisesta yrityksestä.

Randel sanoi, että CERT on "jatkuvasti" ilmoittanut Compicille haavoittuvista ohjelmista, joita he ovat isännöineet. Compic ryhtyy toimiin poistamaan sivustot riippuen "siitä, kuinka kovaa me huutahdamme", Randel sanoi. Compic tavallisesti reagoi nopeasti, kun CERT lähettää valituksen sähköpostin - ja kopioi Viron rikollispoliisin, Randel sanoi.

Compicin ylävirtaoperaattori Linxtelecom lähetti torstaina sähköpostiviestin Viron Internet-palveluntarjoajalle, joka sanoi olevansa suunnitelma katkaista Compic, Randal sanoi.

Linxtelecom myy IP-passituspalveluja, jotka yhdistävät paikalliset palveluntarjoajat ja teleoperaattorit suurempien tietovälineiden kanssa. Linxtelecom totesi sähköpostissa, että 99 prosenttia valituksista, jotka se saa väärinkäytöksistä, liittyy Compiciin, Randel sanoi.

Linxtelecomin virkamies sanoi, ettei hän tiennyt sähköpostista. Compic reagoi valituksiin kahden päivän kuluessa tai niin, mutta Linxtelecom aiemmin katkaisi yhteyden Web-sivustoihin, joita Compic ylläpitää valitusten jälkeen.

Tietoturva-asiantuntijat sanovat, että on olemassa kourallinen palveluntarjoajia ja verkkotunnusten rekistereitä, jotka toimimaan tiiviisti tietoverkkorikollisten kanssa tukemaan roskapostitoimintoja, verkkokauppoja, jotka myyvät väärennettyjä ohjelmistoja ja muita huijauksia.

Operaatioita on vaikea pysäyttää niiden kansainvälisen luonteen, nopeuden, jolla tietoverkkorikolliset reagoivat pysähdyksiin ja lainvalvontaviranomaisten resurssien tai etujen puutteeseen.

McColon sulkeminen tuli sen jälkeen, kun tutkimus julkaistiin, mikä osoitti, missä määrin yritys oli mukana

Vastaavasti toinen huomattava huono ISP - tunnetaan nimellä Atrivo tai Intercage - katkaisi sen ylävirtaoperaattorit syyskuussa tietoturvayhteisön asentamisen vuoksi.

" Viimeaikaiset tapaukset, joissa McColo ja Atrivo / Intercage otettiin pois Internetistä, on tulevaisuudessa entistä helpompaa painostaa muita tunnettuja haittaohjelmien hostereita toimimaan tai siirtymään offline-tilaan ", McAfee Avert Labsin tietoturvastrategia Toralv Dirro kertoo. Thurday.