Botnet Cutwail ochromen, servery v Číně fungují dál

Bezpečnostním expertům ze společnosti LastLine se podařilo vyřadit z provozu botnet Pushdo (Cutwail). V předcházejícím průběhu bylo identifikováno 30 řídicích serverů a většina z nich již nepracuje. Objem spamu chrlený botnetem poklesl minulý týden téměř na nulu.

V určitou dobu se odhadovalo, že Cutwail může celosvětově až za 20 % veškerého spamu a i ve chvíli úderu patřil zřejmě mezi 5 největších botnetů. V minulosti se pomocí tohoto botnetu útočníkům například podařilo prolomit ochranu Captcha pro registraci účtů ve službě Microsoft Live.

 

Loni byla od Internetu soudním nařízením odpojena síť poskytovatele 3FN, který byl zřejmě významným poskytovatelem konektivity a hostingu pro Cutwail, množství spamu ale tehdy nekleslo. Možná, že i přes odpojení serverů ovládané počítače (zombie) dále chrlily spam podle předprogramovaných pokynů a útočníci je posléze zase dostali pod kontrolu z jiných serverů. Není ale úplně jasné, proč potom po vyřazení serverů byl pokles spamu zaznamenán teď.

Narušení botnetu je dobrá zpráva. LastLine ale současně upozorňuje, že někteří poskytovatelé hostingu (zejména z Číny) odmítli žádost firmy o ukončení činnosti řídicích serverů, třebaže dostali k dispozici důkazy o jejich podvodné činnosti. Lze se proto obávat, že celý úspěch je jen přechodný a botnet Cutwail se dočká obnovy. Analýza dat z vyřazených serverů ukázala, že podvodníci disponovali 78 GB e-mailových adres.

LastLine je sturt-upem několika akademických pracovníků. Jeden z nich Thorsten Holz, mj. odborný asistent informatiky na Ruhr-University v Bochumu, uvedl pro americký Computerworld, že jeho skupina analyzovala spam, přiřazovala ho konkrétním typům botnetu a z toho zjistila, kde (geograficky) mají jednotlivé botnety řídicí servery a kde se nachází většina infikovaných počítačů. V případě Cutwailu je 40 % infikovaných zombií v Indii.

Holz se domnívá, že uživatele infikovaných počítačů by měli informovat jejich poskytovatelé Internetu. V Německu to již takto funguje a k vládní iniciativě se připojilo 8 místních ISP.

 

Zdroj: Computerworld.com, The Register

 

Poznámky:

- Pushdo a Cutwail nejsou přesněji řečeno synonyma, jde o dva různé druhy malwaru, ale počítače bývají obvykle infikovány oběma současně.

- Ovšem představa, že poskytovatel bude uživatele infikovaného počítače informovat e-mailem ve stylu „váš počítač je infikován, klikněte sem“... To naopak samo působí jako podvod, třeba spojený s falešnými antiviry.