A Microsoft tegnap jelentette be, hogy a kiberbűnözés elleni fellépésük keretében a Szövetségi Nyomozóirodával (FBI) együttműködésben egy újabb nagy méretű, csalásokra felhasználható zombihálózatot sikerült átmenetileg működésképtelenné tenniük.

A közlemény szerint a Citadel nevű malware által létrehozott hálózat fejlesztői és üzemeltetői több mint ötmillió felhasználó gépére jutottak be, majd a csalásokra felhasználható erőforrást kihasználva az elmúlt másfél évben több mint 500 millió dollárnyi kárt okoztak.

A Microsoft biztonsági szakemberei a 2012 elején indított akció során minden kontinensen találtak érintett központokat, gépeket, összesen 90 ország felhasználói érintettek. A vizsgálat során közel 1500 részhálózatot, irányító gépet fedtek fel, melyek állításuk szerint számítógépek millióit kontrollálták. A felhasználók számítógépeire különféle módszerekkel feltelepített kártékony programot kifejezetten internetes banki tranzakciók során felhasznált információk – leginkább jelszavak – lopására tervezték, ehhez a klasszikus módszert, egy billentyűzet-használatot figyelő programot alkalmaztak. A bemutatott bizonyítékok alapján egy észak-karolinai bíróság tegnapelőtt elrendelte a botnet egyes elemei között létrehozott kapcsolatok letiltását, a feltárt, fizikailag is azonosítható szerverek működtetőinek eljárásba vonását – vagyis a rendőrség kiszállt, és leállíttatta az Egyesült Államok területén található gépeket.

A siker részleges, a közlemény PR

Egy botnet felszámolása mindenképp hasznos, ám azt az ellenük fellépők is elismerik, hogy általában csak átmeneti megoldás, mivel az üzemeltetők egy új, esetleg módosított szoftverrel a lebukás előtt/közben/után máris építik az új hálózatot. A Microsoft így a jelen esetben is csak azt nyilatkozta, hogy igen komoly mértékben sikerült károsítani a Citadelt, de a teljes felszámolásról nincs szó.

Mégpedig azért, mert az irányító (C&C) szerverek lekapcsolása átmenetileg ugyan hatalmas javulást okoz, de ez nem elég a sikeres fellépéshez. Ennek elérésére a fertőzött PC-ket is meg kell tisztítani, hiszen ha rajtuk marad a malware, annak írói, fejlesztő igen gyorsan új hálózatba rendezik őket új C&C szerverekkel. Ám ez a lépés a legnehezebb: ha a kampány nem segít – és általában nem szokott, hiszen nagyon sok átlagfelhasználó a vírusírók szándéka szerint észre sem veszi, hogy fertőzött a gépe –, akkor nagyon kevés lehetőség marad. Ezek egyike a felhasználó beavatkozása nélküli távoli tisztítás, ami ugyan hatékony, ám ezt – némiképp joggal – szinte mindenki helyteleníti, ugyanakkor a közelmúlt biztonsági incidensei azt mutatják, hogy egyre inkább helyet kap ez a „gondoskodás”, mivel az átlagfelhasználók másképp nem érhetőek el.