A végeláthatatlan botnetháború folytatódik: ahogy beszámoltunk róla, csak átmeneti könnyebbséget okozott, hogy az amerikai hatóságoknak végre sikerült kiiktatniuk egy szolgáltatót, aki a világ több nagy bothálózatának nyújtott aktív segítséget évek óta, ugyanis a kiberbűnözők napokon belül megtalálták új helyüket, az akkori hírek szerint Oroszországban.

Mint a FireEye biztonságtechnikai cég nemrég bejelentette, az amerikai McColo lekapcsolása után több zombihálózat is kontrollálhatatlanná vált a működtetők számára (ennek volt köszönhető az átmeneti eufória, mivel a spamek száma a pesszimista becslések szerint is a felére csökkent egy időre), köztük a Srizbi nevű is, mely 450–500 ezer fertőzött gépével a legnagyobbak közé számít. Ám a FireEye jelezte, hogy hamar új gazdára találtak Észtországban, egy tallinni szolgáltatónál (pikáns választás: Észtországban hozta létre a NATO a katonai szövetség kiberháborús központját…).

A vizsgálat kiderítette, hogy a Starline Web Services nevű vállalkozásnál üzemeltek a Srizbi irányításához szükséges, úgynevezett Command and Control szerverek. A Srizbi – és más botnetek – programjában van egy olyan kód, mely időről időre új doméneket generál, s ha a bűnözőket elvágják a korábbi szolgáltatótól, akkor ezeken keresztül a cracker újra el tudja érni a hálózatot, majd kialakíthatja az új irányítási központot. Ám ehhez szükségük van egy olyan szolgáltatóra, akinek a szerverein mindezt megtehetik, s a Srizbi esetében erre a célra választották ki a viszonylag kis piacú Starline Web Servicest.

A Srizbi botnet (nagyításhoz klikk! a képre)
Forrás: FireEye

A FireEye jelentésének közzététele után azonban az észt biztonsági és kiberbűnözés elleni hatóság (CERT) is lépett, s a szolgáltató lezárta a hozzáférést a kompromittálódott szerverekhez. Mint kiderült, a Starline Web Services csak bérli a vonalakat egy másik észt szolgáltatótól, a Compictól, akit viszont a hatóságok már jó ideje figyelnek, mivel az internetes bűnözők támogatásával gyanúsítják őket. Ám ők a McColóhoz hasonlóan a figyelmeztetések után annyit mindig megtesznek, hogy éppen ne lehessen vádolni a céget semmivel, de még aznap új módon folytatják tovább illegális tevékenységüket.

Az eset után azonban a Compic hálózati kiszolgálója (upstream provider) a Linxtelecom állítólag – a cég egyik képviselője nem tud róla, ám a CERT igen – levélben jelezte az észt szolgáltatók szervezetének, hogy tervezik a Compic lekapcsolását, mivel saját felmérésük szerint is ez a szolgáltató hozható kapcsolatba a panaszt okozó levelek 99 százalékával.

Az ügy kapcsán a McAfee egyik szakértője, Toralv Dirro elmondta, hogy ez az eset egyrészt a kiberbűnözők hallatlan rugalmasságát, illetve az egész világra kiterjedő, maffiaszerű szervezettségét bizonyítja, ugyanakkor az intézkedések hatékonysága arra is rámutat, hogy ha a szándék és az apparátus megvan, akkor eredményesen is fel lehet lépni a spammerek ellen.