Telenor stoppet hackernett med 10.000 pc-er

Telenor stoppet hackernett med 10.000 pc-er

Myndighetene i Singapore stengte et nett med 10.000 datamaskiner etter at Telenor Sikkerhetssenter i Arendal avslørte ulovlig aktivitet.
-- Vi har døgnkontinuerlig overvåkning for våre kunder som har inngått avtale med oss om IDS, sier Vidar Wilkens, i Telenor Sikkerhetssenter.

Da Wilkens kom på jobb syvende september fikk han rapport om uvanlig aktivitet på en av deres kunders maskiner.

Avslører

Telenor Sikkerhetssenter sørger for å overvåke kunders nett for å avsløre ormer, trojanere, virus og mulige angrep, ved hjelp av avansert programvare og analyse av data, Intrusion Detection System, IDS.

-- Det hadde vært en skandale om vi ikke hadde oppdaget denne uvanlige aktiviteten. Det var ingen tilfeldighet, legger Frank Stien i Telenor Sikkerhetssenter til.

Mer omfattende analyse avslørte at datamaskinen var infisert av trojaneren Rbot som finnes i flere hundre varianter. Maskinen inngikk i et nett på 10.000 datamaskiner styrt av en tjenestemaskin i Singapore.

Vidar Wilkens kontaktet derfor SANS Institutes Internet Storm Center og gjorde oppmerksom på datamaskinen i Singapore som styrte et nett med 10.000 datamaskiner.

SANS fikk vite hvilken trojaner, hvilke porter, antall klienter og tjenestemaskin. Deretter kontaktet SANS myndighetene i Singapore, Singaporean Infocom Development Authority, som ved hjelp av en lokal tjenesteleverandør stengte datamaskinen som styrte de 10.000 datamaskinene.

Lydige redskap

Den nye utviklingen på ulovelig nettverksaktivitet er å ta over datamaskiner og få dem til å opptre som lydige redskaper for sine formål. En vanlig oppgave er å styre datamaskinene til å sende søppelpost.

Det man er mer redd for, er at alle datamaskinene skal bombardere et eller flere bestemte mål med meldinger, kalt DDOS (Distributed Denial of Service Attack) for å stoppe virksomhetens mulighet for å drive tjenester på nettet.

-- I dette tilfelle hadde Botnettet mulighet via IRC til å gjøre DDOS, understreker Vidar Wilkens.

En samling på 10.000 maskiner kan stoppe en hvilken som helst leverandør. I juni ble både Google, Microsoft og Yahoo kortvarig satt ut av spill.

Samlingen av datamaskiner som styres, betegnes roboter eller 8Zombies8 og det virtuelle nettet de representerer, kalles 8Botnet8. Datamaskinene snakker seg i mellom og med tjenestemaskinen via tasteprat-protokollen Internet Relay Chat (IRC).

Mer alvorlig

Ifølge Johannes Ullrich, sjefsteknolog i Internet Storm Center, kan hackerne som styrer Botnet, ha overført styringen av nettet til en ny tjenestemaskin selv om den opprinnelige er stoppet.

-- På flere måter er "Botnets" mer alvorlige enn ormer og virus. De er en enkel måte å kontrollere 10.000 maskiner til å gjøre hva som helst, som å hente et program og installere det, gå til en bestemt adresse og søke etter nye sårbare datamaskiner, fremholder Johannes Ulrich.

Selv om Telenor avslørte Botnettet med 10.000 datamaskiner har man ikke klart å finne frem til hvilket mål disse skulle angripe. Derfor er det mulig at hackerne kan bygge opp et nytt nettverk for nye angrep.

Kontinuerlig overvåkning er nødvendig for å avsløre uvanlig aktivitet. Botnet på 10 - 100 maskiner oppdages og stenges hele tiden, ofte flere ganger om dagen. Nett med 10.000 maskiner er derimot uvanlig, men til gjengjeld mer farlig.