A spanyol hatóságok letartóztattak három férfit, akiket azzal gyanúsítanak, hogy egy kiterjedt ún. zombihálózatot építettek ki megfertőzött számítógépekből, melyet aztán különféle bűncselekmények végrehajtására használtak fel. Az általuk irányított botnet, a Mariposa (spanyolul: pillangó) több mint 13 millió egyedi IP-címet számlált, és ezzel valószínűleg a legnagyobbak között volt. A bővebb tájékoztatást mára ígérő rendőrség szerint a világ 190 országában találtak fertőzött gépeket, magánfelhasználóknál, iskolákban, közintézményekben, az 1000 legnagyobb vállalat több mint felénél, illetve legalább 40 pénzügyi szervezetnél.

A zombihálózatra egy IT-biztonsági cégekből és szakemberekből álló akciócsoport, a Mariposa Working Group szállt rá. „Ronda egy példány volt, ezért arra jutottunk, hogy le kell kapcsolnunk. A fejét kellett levágnunk” – mesélte az AP-nek Chris Davis, a botnetet tavaly májusban felfedező Defense Intelligence vezetője. A csoportnak december 23-án sikerült lekapcsolnia a hálózatot irányító szervereket, az üzemeltetőkről összegyűjtött információkat pedig átadták a spanyol és egyesült államokbeli hatóságoknak.

A számítógépeket „beszervező” rosszindulatú program kezdetben a Microsoft Internet Explorer ismert sebezhetőségeit kihasználva terjedt weboldalakon (illetve chatkliensekben szétszórt linkeken) keresztül, aztán fájlcserélőkön és USB-kulcsokon is felbukkant. A szoftver kódját gyakran, nem ritkán kétnaponta módosították, hogy a vírusirtókon nagyobb eséllyel át tudjon jutni. A Mariposa még ma is terjed, de a kompromittált gépeket irányító szerverek nélkül nem tud kárt okozni, és ha a kód sem frissül, idővel egyre több antivírus fogja felismerni. A program a bűnözők számára értékes információkat – jelszavakat, bankkártyaadatokat stb. – gyűjtött, ezen túl DDoS-támadások levezénylésére használták.

A botnet feltételezett ötletgazdáját, egy Netkairo és hamlet1917 becenéven ismert férfit januárban fogták el Bilbaóban, két társát pedig a múlt héten. A hatóságok dolgát megkönnyítette, hogy a bűnözők elővigyázatlanok voltak, és a valós nevükön regisztrálták a központi irányítószerverek doménjét. A gyanúsítottak „hétköznapi emberek, akik számítógépes bűnözéssel rengeteg pénzt kerestek” – idézte az AP a spanyol hatóság egyik illetékesének szavait.

Azt, hogy a bűnözők mennyi pénzhez jutottak a zombihálózatnak köszönhetően, nem közölték. A szerverek lekapcsolásában részt vevő Panda Security szerint az egyiküknél a letartóztatásakor 800 ezer felhasználó személyes adatait találták meg. Szakértők azt mondják, hogy a Mariposa az eddig lekapcsolt botnetek legnagyobbika volt, és egyben figyelmeztetnek: fennáll annak a veszélye, hogy az esetleges további bandatagok ismét felélesztik.