Microsoft knekker botnett

Et samarbeid mellom Microsoft, FBI og flere private selskaper har satt en stopper for nesten 1500 botnett.

Publisert Sist oppdatert

Citadel er et byggesett for skadevare, hvor kriminelle kan leie eller bygge egne botnett uten å ha noen særlig store teknologikunnskaper.

Nå har programvaregiganten Microsoft, i samarbeid med FBI og en rekke private selskaper klart å sette en stopper for hele 1462 botnett. Ettersom hvert botnett kan bestå av flere titall tusen infiserte datamaskiner - i dette tilfellet anslått til rundt fem millioner pc-er - er det ingen liten bragd.

Den suksessfulle aksjonen mot Citadel markerer den syvende gangen Microsoft har gått til krig mot cybertrussler. Den mest kjente er kanskje da Zeus-nettet ble avslørt og stoppet.

Identifiserte C&C-servere

Zombiene, altså datamaskinene i et botnett, er avhengig av en eller flere sentrale kommandoservere for å motta instruksjoner om hva de skal foreta seg.

Ofte handler det om ting som å formidle spam eller skadevare, brukes i kriminelle operasjoner mot virksomheter eller stjele og videresende forskjellig typer informasjon, typisk sett personlig finans- og bankinformasjon.

Microsoft anslår at Citadel-botnettene har ranet til seg i underkant av 3 milliarder kroner fra banker og privatpersoner over hele verden.

Den enkleste metoden for å stenge et botnett er dermed å identifisere og stenge disse kommandoserverene, og nettopp det var det som skjedde her.

Etter lang etterforskning sporet Microsoft kommandoservere til to datasentraler i de amerikanske delstatene Pennsylvania og New Jersey. En dommer i distriktsretten i North Carolina skrev under rettspapirene, og FBI aksjonerte.

Datasentralene skal ikke hatt kjennskap til at serverene deres ble brukt som kommandosentral for Citadel-nettet.

Selv om antallet Citadel-botnett som ble skrudd av er svært høyt, er det fortsatt mange som fortsatt er på nett utenfor USA, men som Richard Domingues Boscovich i Microsoft sin Digital Crimes Unit skriver i en bloggpost på Technet , så har aksjonen stukket kjepper i hjulene for operatørene av botnettet.

- Vi forventer ikke å stoppe alle botnettene i verden som bruker Citadel-programvaren. Men vi forventer at denne aksjonen forstyrrer driften av Citadel betydelig, og bidrar til å slippe ofrene fri fra trusselen, og gjøre det mer kostbart for de kriminelle å gjøre forretninger, skriver Boscovich.

Spres med piratkopiert Windows

Ifølge Reuters spres Citadel-klientene via piratkopierte versjoner av Microsoft Windows XP, som har skadevaren forhåndsinstallert.

De tror også de vet hvem som står bak. På en måtte, i hvert fall. Microsoft har levert anmeldelse mot en person som går under aliaset "Aquabox". Hverken myndigheter eller Microsoft kjenner riktignok ikke den ekte identiteten til personen, og i rettsdokumentene refereres han som "John Doe No. 1".

Det er antatt at Aquabox holder til i Øst-Europa, og har et team på minst 81 botnett-gjetere som holder styr på flokken av infiserte zombie-maskiner. Årsaken er at Citadel er programert til ikke å angripe pc-er eller virksomheter i Ukraina og Russland, sannsynligvis for å unngå problemer med lokale myndigheter i hjemlandet, mener Microsoft.

Citadel ble først oppdatert tidlig i 2012, og byggesettet skal koste rundt 15.000 kroner. Prisen inkluderer support og et hemmelig brukerforum. Aquabox skal angivelig også motta en viss prosent av "inntektene" til brukerne av Citadel.