Articles

Microsoft Interrompe ‘Nitol” Botnet em Pirataria Varrer

Microsoft disse quinta-feira que decidiu um tribunal federal dos EUA para conceder-lhe o controle sobre uma botnet que se acredita estar intimamente ligadas a versões falsificadas do Windows que foram vendidos em várias lojas de informática de toda a China. A vitória legal também destaca um serviço de Internet chinês que especialistas dizem ter sido associado a ataques direcionados e de espionagem contra corporações dos EUA e da Europa.

Fonte: Microsoft.com

a Microsoft disse que procurou interromper uma operação falsificada da cadeia de suprimentos que vendia versões knockoff de PCs com Windows que vinham pré-carregadas com uma variedade de malware chamada “Nitol”, que permite que os invasores controlem os sistemas de longe para uma variedade de propósitos nefastos.Em documentos legais não selados quinta-feira pelo Tribunal Distrital dos EUA para o Distrito Leste da Virgínia, a Microsoft descreveu como seus pesquisadores compraram computadores de várias cidades da China e descobriu que aproximadamente 20 por cento deles já estavam infectados com Nitol.

não está claro exatamente quantos sistemas estão infectados com Nitol, mas não parece ser uma ameaça particularmente grande. A Microsoft disse ao tribunal que detectou quase 4.000 instâncias de computadores Windows infectadas com alguma versão do malware, mas que esse número provavelmente representava “apenas um subconjunto do número de computadores infectados.”A empresa disse que a maioria das infecções por Nitol e servidores de Internet usados para controlar a botnet estavam centrados na China, embora vários EUA. estados-incluindo Califórnia, Nova York e Pensilvânia — foram o lar de um número significativo de anfitriões comprometidos.Apelidado de “operação b70” pela Microsoft, as manobras do tribunal são as mais recentes de uma série de ataques furtivos legais que a gigante do software executou contra operações de cibercrime em larga escala. Os alvos anteriores incluíam as botnets Waledac, Rustock, Kelihos e ZeuS.

o alvo principal desta queda foi 3322.org, um provedor chinês de “DNS dinâmico” (DDNS). Os provedores DDNS oferecem serviços normalmente gratuitos que permitem que milhões de usuários legítimos tenham sites hospedados em servidores que mudam frequentemente seus endereços de Internet. Esse tipo de serviço é útil para pessoas que desejam hospedar um site em um endereço de internet baseado em casa que pode mudar de tempos em tempos, porque os Serviços DNS dinâmicos podem ser usados para mapear facilmente o nome de domínio para o novo endereço de Internet do usuário sempre que ele mudar.

infelizmente, esses provedores de DNS dinâmicos são extremamente populares na comunidade de invasores, porque permitem que bandidos mantenham seus sites de malware e golpes, mesmo quando os pesquisadores se encarregam de rastrear o endereço IP de ataque e convencer o ISP responsável por esse endereço a desconectar o malfeitor. Nesses casos, o DNS dinâmico permite que o proprietário do domínio atacante simplesmente redirecione o site de ataque para outro endereço da Internet que ele controla.

Microsoft disse ao tribunal que encontrou “um escalonamento de 500 diferentes tipos de malware hospedado em mais de 70.000 subdomínios” em 3322.org. O tribunal concedeu Microsoft temporária controle sobre os servidores de nome para esse domínio. Enquanto 3322.org é propriedade de uma empresa chinesa, o registro dot-org é controlado pelo Public Interest Registry, uma empresa com sede em Reston, Va.

embora a Microsoft não tenha abordado explicitamente isso em seu arquivamento, dizem os especialistas 3322.org há muito tempo está associado a malware usado em ataques altamente direcionados destinados a roubar segredos corporativos e governamentais de U.S. e outras empresas ocidentais.

“A grande maioria das interações com o 3322.org nomes de host para aqueles que estão fora da Ásia — particularmente nos Estados Unidos são mal-intencionados”, disse Steven Adair, um especialista em segurança com Shadowserver.org, uma organização sem fins lucrativos que ajuda Provedores de faixa de ataques de malware. “Embora não seja tão prevalente agora, o 3322.org o domain tem sido um ponto quente para malware usado para realizar espionagem cibernética há vários anos. Já podemos dizer que esse movimento teve um impacto nas operações de crimes cibernéticos.”

mas não está claro o quão eficaz essa ação será no bloqueio dessa atividade, ou mais do que interromper temporariamente as operações da Nitol.

Joe Stewart, diretor de pesquisa de malware para a Dell SecureWorks, postou uma mensagem para Twitter.com esta manhã, observando que apenas 57% dos subdomínios ele está seguindo como em relação ao alvo, espionagem tipo de atividade de ataque foram interrompidos pela Microsoft ação.

parte do problema pode ser que grande parte do malware chamando casa para 3322.a org tem instruções incorporadas em sua composição genética para procurar comandos e atualizações de muitos outros provedores de DNS dinâmicos não afetados pela ordem judicial, disse Gunter Ollmann, vice-presidente de pesquisa da Empresa de segurança Damballa.”O que vimos é que atualmente estamos rastreando cerca de 70 botnets diferentes que tinham nomes de domínio de comando e controle dentro de 3322″, disse Ollmann. “Mas todos eles têm nome de domínio secundário fora de 3322.org.”

potencialmente complicando ainda mais as coisas, 3322.org agora parece estar instruindo os usuários afetados sobre como contornar ter seus sites redirecionados para os servidores da Microsoft.

a Microsoft disponibilizou gratuitamente os documentos legais relacionados a este caso a partir de noticeofpleadings.com.

Deixe uma resposta

O seu endereço de email não será publicado.