Videó: Microsoft strikes down the Rustock botnet in Operation b107 (November 2024)
Örüljetek! A Citadella botnet leesett! Azok a számítógépek, amelyeket egyszer rabszolganak, ingyenesek, és a világ rendben lesz. Nos, nem egészen, de a Microsoft tegnap bejelentette, hogy partnerkapcsolatban állnak az FBI-val és más szervezetekkel, hogy elérhetővé tegyék 1 462 ismert, független Citadel botnetet.
A Microsoft által vezetett akció jelentős sikert jelent. Az FBI kiadásában az iroda azt írta, hogy "külön, de összehangolt műveletekben" vettek részt a Microsoft és más cégek bevonásával. "Az FBI információkat nyújtott a külföldi bűnüldöző szerveknek, hogy önkéntes lépéseket tehessenek az Egyesült Államokon kívül található botnet infrastruktúrával kapcsolatban" - írta az iroda. "Az FBI megszerezte és kiszolgálta a bíróságok által engedélyezett, a botnetekkel kapcsolatos belföldi keresési parancsokat is."
Az eltávolítás
A Microsoft 2012-ben kezdte meg a Citadell nyomozását, és gyorsan felfedezte az illegális művelet hatalmas mértékét. Egy sajtóközleményben azt írták, hogy a Citadel 90 országban több mint ötmillió számítógépet fertőzött meg, beleértve az Egyesült Államokat, Európát, Kínát, Indiát és Ausztráliát. A Microsoft becslése szerint a rosszindulatú szoftverek fél milliárd dollárt loptak el mind magánszemélyektől, mind társaságoktól.
A szerverek leépítésének első lépése az Egyesült Államok Észak-karolinai nyugati kerületi kerületi bíróságán kezdődött, amely felhatalmazta a Microsoftot, hogy szakítsa meg az 1 462 Citadel botnet és a fertőzött számítógépek közötti kommunikációt.
"Június 5-én a Microsoft, az amerikai marsallok kíséretében, adatokat és bizonyítékokat vett le a botnetekből" - írta a szoftvercég. Ez magában foglalta a New Jersey-ben és Pennsylvaniában található adattároló létesítmények szervereit.
Ken Pickering, a CORE Security biztonsági stratégiája azt mondta, hogy ez a köz- és magánszféra közötti partnerség jó dolog. "Vannak bizonyos készségek és tehetségek a magánszektorban, amelyek nincsenek a közszektorban" - mondta.
Pickering folytatta, hogy a Citadell levétele jó a Microsoft számára is. Elmondta: "Ezek a termékek kihasználásai és befolyásolják felhasználói bázisukat".
Mi a Citadella?
Ha Ön a SecurityWatch rendszeres olvasója, akkor valószínűleg látta már a fent említett Citadell. Valószínűleg a rosszindulatú hasznos tehetségről van szó az NBC.com rosszindulatú bemutatóján, ahol egy törvényesen vásárolt hirdetés rosszindulatú kódot tartalmazott.
Az NBC támadás idején a Malwarebyets elmondta a PC Magnak, hogy a Citadel a Zeus Banking trójai székhelye. A felszámolásról szóló tegnapi kiadásban a Microsoft kifejezetten felhívta a figyelmet a Citadel keylogging képességeire és arra, hogy miként veszélyeztetik az áldozatok bankszámláit.
"Mivel a piaci szereplők a rosszindulatú szoftvereket az áldozatok online banki hitelesítő adatainak ellopására és csalárd tranzakciók végrehajtására használják, a pénzügyi szolgáltatási ágazat vezetői, köztük az FS-ISAC, a NACHA, az ABA és az Agari, az ügyben nyilatkozattevőként szolgáltak a Microsoft polgári peres eljárásához" - írta a Microsoft.
A Citadel figyelemre méltó sokszínűségével és egyszerű telepítésével, és a Symantec azt írja, hogy körülbelül 3000 dollárért megvásárolható. A Microsoft által említett 1 462 aktív botnet hálózat egymástól független fertőzött számítógépek hálózata, amelyek mindegyike ugyanazt vagy hasonló szoftvert futtat. Remélhetőleg ez zavaró tényezővel fog üzenetet küldeni másoknak, hogy a Citadella nem lehet a választott eszköz.
Noha a vadon élő Citadel botnetek pontos számát nehéz meghatározni, Pickering optimista volt. "Azt hiszem, nagy részüket megszakították" - mondta.
Ugyanakkor azt is megjegyezte, hogy sok botnet az USA-n kívül található. "A botnetek nagy része Ukrajnában és Oroszországban működik" - mondta Pickering.
Mi a következő lépés
Fontos, hogy emlékezzünk arra, hogy a Citadella nem halt meg. "A fenyegetés nagysága és összetettsége miatt a Microsoft és partnerei nem számítanak arra, hogy a Citadel használatával teljes mértékben eltávolítsák az összes botnetet" - írta a Microsoft. "Ugyanakkor várható, hogy ez a művelet jelentősen megzavarja a botnetek működését, kockázatosabbá és drágábbá téve a számítógépes bűnözők számára az üzleti tevékenység folytatását, és lehetővé téve az áldozatok számára, hogy számítógépeiket megszabadítsák a rosszindulatú programoktól."
Noha a szerverek leszerelése minden bizonnyal megrontotta a botnetet, valószínűleg értékesebb a kockázat és a költségek növelése a Citadel botneteket működtető szervezetek és egyének számára. A legtöbb számítógépes bűnözés egy szám játék, sok pénzre - sokszor kis sikerre - támaszkodva pénzt keres. Amikor a támadási módszer túl nehéz vagy túl drága, a bűnözőket arra kényszerítik, hogy újítson vagy feladja.
A legfontosabb következő lépés a Citadel malware eltávolítása a fertőzött számítógépektől, hogy a Citadel botneteit később ne lehessen feltámadni. "Közvetlenül a zavar után a Microsoft a lefoglalás során összegyűjtött fenyegetésekkel kapcsolatos információt felhasználja az internetszolgáltatókkal és a számítógépes vészhelyzeti reagáló csapatokkal való együttműködésre világszerte, hogy gyorsan és hatékonyan értesítse az embereket, ha számítógépeik megfertőződtek" - írta a Microsoft. Ha már tudja, hogy megfertőződött, a rosszindulatú programok eltávolító eszközei, mint például a Szerkesztőink választása, Malwarebytes Anti-Malware 1.70, jó első lépés a számítógép tisztításához.
Annak ellenére, hogy a Citadel nem igazán halott, a Microsoft, az FBI és az összes többi játékos gyorsan rámutat arra, hogy csak az együttmûködés volt gyõzelem. Remélhetőleg további jó híreket fogunk kapni más szupercsoportokról, amelyek a rossz fiúk leszerelésén dolgoznak.
