Botnet o nazwie Bredolab to dość ciekawy przykład, że jednak można. Można w skoordynowanej akcji wyłączyć 143 serwery zarządzające siecią botnet o prawie 30 milionowej populacji. Przy współpracy z służbami zajmującymi się walką z cyberprzestępczościa, z firmami zewnętrznymi oraz dostawcami usług sieciowych ISP – udało się im skutecznie unieruchomić działania sieci Bredolab. Trojan ten znany także jako Sasfis lub Oficla zarażał użytkowników w trakcie odwiedzania zainfekowanych stron WWW, fałszywych aplikacji antywirusowych oraz poprzez maile z załącznikami zawierającymi złośliwe treści (na przykład z tematem: Facebook Password Reset Confirmation).
Oczywiście po całkowitym przejęciu kontroli nad systemem ofiary, monitorował połączenia do znanych serwisów i wykradał dane do kont bankowych, usługowych i wykonywał całą resztę zabawy, tak powszechną w dzisiejszym złośliwym oprogramowaniu.
Z ciekawych statystyk warto zauważyć, że pod koniec 2009 roku cały botnet wysyłał ponad 3 miliardy wiadomości dziennie. Warto także nadmienić, że zainfekowanym użytkownikom została przekazana wiadomość o infekcji ich komputera oraz o możliwych metodach wspomagających usunięcie złośliwej aplikacji. Dość odważne posunięcie ze strony holenderskich obrońców ale z drugiej strony obserwując prawo holenderskie, nie możemy twierdzić, że wcześniej nie byli odważni :]
W związku z całą akcją został aresztowany obywatel Armenii (dodatkowo z obywatelstwem rosyjskim) zaraz po powrocie z Moskwy do stolicy Yerevan. Służby mają nadzieję na więcej aresztowań gdyż aktywnie śledzą poczynania klientów, którym 27 letni Armeńczyk sprzedawał zarażone systemy. Jeśli zostanie oskarżony (z użyciem ekstradycji) na terenie Holandii, grożą mu wakacje trwające od 4 do 6 lat.
Mimo wyłącznie serwerów służących do zarządzania, nadal w sieci działają serwery obsługujące botnet Bedolab. Część z nich aktywnie działa i wydaje nowe polecenia oraz wysyła nowe wersje złośliwego oprogramowania, nie wykrywanego przez większość systemów antywirusowych. Możliwe jest, że jest to odrębna część sieci wykorzystująca mechanizmy Bredolab. Jednym z wariantów jest sytuacja, w której kod trojana wypłynął do sieci i ktoś buduje podobną sieć na podwalinach botnetu Bredolab. Możliwa jest też sytuacja, w której wynajmujący sieci botnet od Armeńczyka posiadają możliwość samodzielnego sterowania botami. Firma antywirusowa Symantec także potwierdziła wykrycie aktywnych wersji trojanów Bredolab.
Najbliższe tygodnie pokażą czy faktycznie udało się całkowicie zwalczyć botnet Bredolab.
6 komentarzy do
14 listopada, 2010 o godzinie 15:02
Czyzby nowy rekord w dziejach botnetu? :) 30 milionow niezle ;)
15 listopada, 2010 o godzinie 10:07
ja wiem, że to blog IT, ale na Boba! Armeńczyk? powinno być Ormianin. nie dajmy się zwariować z tym naszym językiem. no i Erewań to stolica Armenii, nie potrzebna jest angielska pisownia…
16 listopada, 2010 o godzinie 02:06
@zuitoslaw: Przepraszam. Nie wiem skąd wziąłem Armeńczyka zupełnie. Z całym szacunkiem dla rzezi Ormian, jeszcze raz przepraszam…
16 listopada, 2010 o godzinie 09:20
Armeńczyk też jest poprawnie, choć nie to samo, co Ormianin:
http://pl.wikipedia.org/wiki/Ormianie
3 stycznia, 2011 o godzinie 10:58
jeden pies!
19 września, 2011 o godzinie 15:38
Jeśli obywatel Armenii z obywatelstwem rosyjskim, to Ormianin. Jeśli rosjanin z obywatelstwem Armeńskim – Armeńczyk. To chyba tak powinno być.