Articles

Microsoft Disrupts ’Nitol’ Botnet Piratic Sweep

Microsoft sanoi torstaina, että se vakuutti Yhdysvaltain liittovaltion tuomioistuin antaa sille valvoa bottiverkko uskotaan olevan läheisesti väärennettyjä versioita Windows, joita myytiin eri tietokoneliikkeissä eri puolilla Kiinaa. Oikeusvoitto nostaa esiin myös kiinalaisen Internet-palvelun, joka on asiantuntijoiden mukaan jo pitkään yhdistetty kohdistettuihin, vakoiluhyökkäyksiin yhdysvaltalaisia ja eurooppalaisia yrityksiä vastaan.

Lähde: Microsoft.com

Microsoft sanoi pyrkineensä häiritsemään väärennetyn toimitusketjun operaatiota, joka myi Windows-tietokoneiden kopiointiversioita, jotka oli valmiiksi ladattu ”Nitol” – nimisellä haittaohjelmistolla, jonka avulla hyökkääjät voivat hallita järjestelmiä kaukaa erilaisiin pahoihin tarkoituksiin.

Yhdysvaltain Virginian itäisen piirin piirioikeuden torstaina julkistamissa oikeuspapereissa Microsoft kuvaili, kuinka sen tutkijat ostivat tietokoneita Kiinan eri kaupungeista ja havaitsivat, että noin 20 prosentissa niistä oli jo Nitoli-tartunta.

ei ole selvää, kuinka monessa järjestelmässä Nitoli on saastunut, mutta se ei näytä olevan erityisen suuri uhka. Microsoft kertoi oikeudessa, että se oli havainnut lähes 4 000 tapausta Windows-tietokoneista, jotka olivat saaneet tartunnan jostakin haittaohjelman versiosta, mutta että tämä määrä edusti todennäköisesti ”vain osajoukkoa tartunnan saaneiden tietokoneiden määrästä.”Yhtiö sanoi, että suurin osa Nitol-viruksista ja Internet-palvelimista, joita käytetään botnetin ohjaamiseen, keskittyivät Kiinan ympärille, vaikka useat yhdysvaltalaiset. osavaltiot — mukaan lukien Kalifornia, New York ja Pennsylvania-olivat koti merkittävä määrä vaarantuneita isäntiä.

Microsoftin ”operaatio b70: ksi” kutsuma oikeussalin sotaharjoitus on viimeisin sarja laillisia häivehyökkäyksiä, joita ohjelmistojätti on toteuttanut laajamittaisia verkkorikollisuusoperaatioita vastaan. Aiempia kohteita olivat muun muassa Waledak, Rustock, Kelihos ja ZeuS-botnetit.

tämän alasajon päätavoitteena oli 3322.org, Kiinalainen” dynamic DNS ” (DDNS) – palveluntarjoaja. DDNS-palveluntarjoajat tarjoavat tyypillisesti ilmaisia palveluita, joiden avulla miljoonat lailliset käyttäjät voivat ylläpitää verkkosivustoja palvelimilla, jotka vaihtavat usein Internet-osoitteitaan. Tämän tyyppinen palvelu on hyödyllinen ihmisille, jotka haluavat isännöidä www-sivustoa kotipohjaisella Internetosoitteella, joka voi muuttua aika ajoin, koska dynaamisia DNS-palveluita voidaan käyttää helposti verkkotunnuksen kartoittamiseen käyttäjän uuteen Internetosoitteeseen aina, kun se sattuu muuttumaan.

valitettavasti nämä dynaamiset DNS-palveluntarjoajat ovat erittäin suosittuja hyökkääjien yhteisössä,koska ne sallivat pahisten pitää haittaohjelmat ja huijaussivustot ylhäällä, vaikka tutkijat mange seurata hyökkäävän IP-osoitteen ja vakuuttaa ISP vastuussa tästä osoitteesta katkaista konnan. Tällaisissa tapauksissa dynamic DNS sallii hyökkäävän verkkotunnuksen omistajan yksinkertaisesti reitittää hyökkäyssivuston toiseen Internet-osoitteeseen, jota hän hallitsee.

Microsoft kertoi oikeudelle löytäneensä ”huikeat 500 erilaista haittaohjelman kantaa, joita on isännöity yli 70 000 aliverkkotunnuksella” 3322.org. tuomioistuin myönsi Microsoftille väliaikaisen määräysvallan kyseisen verkkotunnuksen nimipalvelimissa. While 3322.org dot-org-rekisteriä valvoo Public Interest Registry, joka on Restonissa, Va: ssa sijaitseva yritys.

vaikka Microsoft ei nimenomaisesti puuttunut tähän arkistoinnissaan, asiantuntijat sanovat 3322.org on jo pitkään liittynyt haittaohjelmia käytetään erittäin kohdennettuja hyökkäyksiä, joiden tarkoituksena on varastaa yritysten ja hallituksen salaisuuksia U.S. ja muut länsimaiset yritykset.

”suurin osa yhteisvaikutuksista 3322.org hostnames niille Aasian ulkopuolella — erityisesti ne Yhdysvalloissa ovat haitallisia,” sanoi Steven Adair, turvallisuusasiantuntija Shadowserver.org, voittoa tavoittelematon, joka auttaa ISPs seurata haittaohjelmien hyökkäyksiä. ”Vaikka ei aivan yhtä yleistä nyt, 3322.org domain on ollut verkkovakoiluun käytettyjen haittaohjelmien kuuma piste jo usean vuoden ajan. Jo nyt voi sanoa, että tällä muutolla on ollut vaikutusta kyberrikollisuusoperaatioihin.”

, mutta ei ole selvää, kuinka tehokkaasti tämä toiminta estää tämän toiminnan, tai enemmän kuin tilapäisesti häiritsee Nitolin toimintaa.

Joe Stewart, Dell SecureWorksin haittaohjelmatutkimuksen johtaja, lähetti viestin Twitter.com tänä aamuna huomaan, että vain 57 prosenttia aliverkkotunnuksista, joita hän on seurannut liittyen kohdennettuun, vakoilutyyppiseen hyökkäykseen, häiriintyi Microsoftin toiminnan takia.

osasyynä voi olla se, että suuri osa haittaohjelmasta kutsuu kotiin 3322: een.org on ohjeet rakennettu sen geneettinen rakenne etsiä komentoja ja päivityksiä monet muut dynaamiset DNS tarjoajat eivät vaikuta oikeuden määräys, sanoi Gunter Ollmann, varatoimitusjohtaja tutkimusyritys damballa.

”olemme nähneet, että seuraamme tällä hetkellä noin 70: tä eri bottiverkkoa, joilla oli komento-ja kontrollialuenimet 3322: n sisällä”, Ollmann sanoi. ”Mutta kaikki nämä ovat toissijainen verkkotunnus ulkopuolella 3322.org.”

mahdollisesti mutkistaa asioita edelleen, 3322.org näyttää nyt ohjeistavan kärsiviä käyttäjiä siitä, miten heidän sivustonsa ohjataan Microsoftin palvelimille.

Microsoft on antanut tähän tapaukseen liittyvät oikeudelliset asiakirjat vapaasti saataville noticeofpleadings.com.

Vastaa

Sähköpostiosoitettasi ei julkaista.