Articles

Microsoft zakłóca Botnet „Nitol” w piractwie Sweep

Microsoft powiedział w czwartek, że przekonał sąd federalny USA do przyznania mu kontroli nad botnetem uważanym za ściśle powiązany z podrobionymi wersjami systemu Windows, które były sprzedawane w różnych sklepach komputerowych w Chinach. Legalne zwycięstwo podkreśla również Chiński serwis internetowy, który zdaniem ekspertów od dawna kojarzy się z celowymi, szpiegowskimi atakami na amerykańskie i europejskie korporacje.

Źródło: Microsoft.com

Microsoft powiedział, że starał się zakłócić działanie podrobionego łańcucha dostaw, który sprzedawał podróbki wersji komputerów z systemem Windows, które zostały wstępnie załadowane szczepem złośliwego oprogramowania o nazwie „Nitol”, który pozwala atakującym kontrolować systemy z daleka w różnych nikczemnych celach.

w dokumentach prawnych ujawnionych w czwartek przez Sąd Rejonowy Stanów Zjednoczonych dla wschodniego dystryktu Wirginii Microsoft opisał, w jaki sposób jego naukowcy kupowali komputery z różnych miast w Chinach i odkryli, że około 20 procent z nich było już zainfekowanych Nitolem.

nie jest jasne dokładnie, ile systemów jest zainfekowanych Nitolem, ale nie wydaje się to szczególnie poważnym zagrożeniem. Microsoft powiedział sądowi, że wykrył prawie 4000 przypadków komputerów z systemem Windows zainfekowanych jakąś wersją złośliwego oprogramowania, ale ta liczba prawdopodobnie stanowiła „tylko podzbiór liczby zainfekowanych komputerów.”Firma twierdzi, że większość serwerów Nitolowych i internetowych używanych do kontroli botnetu koncentrowała się wokół Chin, chociaż kilka amerykańskich stany-w tym Kalifornia, Nowy Jork i Pensylwania – były domem dla znacznej liczby skompromitowanych gospodarzy.

nazywane przez Microsoft „operacją b70”, manewry sądowe są najnowszymi z serii legalnych ataków, które gigant oprogramowania przeprowadził przeciwko operacjom cyberprzestępczości na dużą skalę. Poprzednie cele obejmowały botnety Waledac, Rustock, Kelihos i Zeus.

głównym celem tej akcji było 3322.org, chiński dostawca” dynamic DNS ” (DDNS). Dostawcy DDNS oferują zazwyczaj bezpłatne usługi, które umożliwiają milionom legalnych użytkowników hostowanie witryn internetowych na serwerach, które często zmieniają ich adresy internetowe. Ten rodzaj usługi jest przydatny dla osób, które chcą hostować stronę internetową na domowym adresie internetowym, który może się zmieniać od czasu do czasu, ponieważ dynamiczne usługi DNS mogą być używane do łatwego mapowania nazwy domeny na nowy adres internetowy użytkownika, gdy tylko się zmieni.

niestety, ci dynamiczni dostawcy DNS są niezwykle popularni w społeczności atakujących, ponieważ pozwalają złym facetom utrzymywać witryny złośliwego oprogramowania i oszustw nawet wtedy, gdy naukowcy mange śledzą atakujący adres IP i przekonują dostawcę usług internetowych odpowiedzialnego za ten adres, aby odłączył niegodziwca. W takich przypadkach dynamiczny DNS pozwala właścicielowi atakującej domeny po prostu przekierować stronę ataku na inny adres internetowy, który kontroluje.

Microsoft powiedział sądowi, że znalazł „oszałamiające 500 różnych szczepów złośliwego oprogramowania hostowanego na ponad 70 000 subdomen” w 3322.org. sąd przyznał firmie Microsoft tymczasową kontrolę nad serwerami nazw dla tej domeny. Podczas 3322.org jest własnością chińskiej firmy, rejestr dot-org jest kontrolowany przez Rejestr interesu publicznego, firmę z siedzibą w Reston, Va.

chociaż Microsoft nie odniósł się do tego wyraźnie w swoim zgłoszeniu, eksperci twierdzą, że 3322.org od dawna kojarzy się ze złośliwym oprogramowaniem używanym w wysoce ukierunkowanych atakach mających na celu kradzież tajemnic korporacyjnych i rządowych z U.S. i innych zachodnich firm.

„zdecydowana większość interakcji z 3322.org nazwy hostów dla osób spoza Azji-szczególnie tych w Stanach Zjednoczonych są złośliwe” – powiedział Steven Adair, ekspert ds. bezpieczeństwa z Shadowserver.org, organizacja non-profit, która pomaga dostawcom usług internetowych śledzić ataki złośliwego oprogramowania. „Choć nie tak powszechne teraz, 3322.org domena od kilku lat jest hot spot dla złośliwego oprogramowania używanego do prowadzenia cyber szpiegostwa. Możemy już powiedzieć, że ten ruch miał wpływ na operacje cyberprzestępcze.”

ale nie jest jasne, jak skuteczne będzie to działanie w blokowaniu tej aktywności, lub bardziej niż tymczasowe zakłócenie działania Nitolu.

Joe Stewart, dyrektor ds. badań nad złośliwym oprogramowaniem w Dell SecureWorks, wysłał wiadomość do Twitter.com dziś rano zauważono, że tylko 57 procent subdomen, które śledził jako związane z ukierunkowanymi działaniami szpiegowskimi, zostało zakłócone przez działanie Microsoftu.

częścią problemu może być to, że wiele złośliwego oprogramowania dzwoni do domu na 3322.org ma instrukcje wbudowane w swój genetyczny makijaż, aby szukać poleceń i aktualizacji od wielu innych dynamicznych dostawców DNS, na które nie ma wpływu nakaz sądowy, powiedział Gunter Ollmann, wiceprezes ds. badań w firmie ochroniarskiej Damballa.

„widzieliśmy, że obecnie śledzimy około 70 różnych botnetów, które miały nazwy domen command and control w obrębie 3322”, powiedział Ollmann. „Ale wszystkie z nich mają drugorzędną nazwę domeny poza 3322.org.”

potencjalnie komplikuje sprawy dalej, 3322.wydaje się, że org instruuje dotkniętych użytkowników, jak obejść przekierowanie ich witryn na serwery Microsoftu.

Microsoft udostępnił bezpłatnie dokumenty prawne związane z tą sprawą z noticeofpleadings.com.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.