Estonya ISP, Srizbi Botnet için Kontrol Sunucularını Kapattı

Bilgisayar güvenliği analistlerine göre, dünyanın spam'larının büyük bir kısmından sorumlu olan Srizbi botnet için komut ve kontrol sunucularını geçici olarak barındıran bir Estonya ISP'si bu sunucuları devre dışı bıraktı.

Estonya'nın başkenti Tallinn'de bulunan Starline Web Servisleri, bilgisayar güvenliği firması FireEye'den araştırmacılara göre, Srizbi'nin kontrol noktaları olarak belirlenen dört alan adını barındırmıştı.

Srizbi'yle dünya çapında yüz binlerce PC, spam göndermek için kullanılan, kaldırılması zor bir rootkit, bu alanlardaki sunuculardan yeni talimatlar aramaya programlanmıştır.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Srizbi, En güçlü botnetlerden biri, en az 450.000 PC bulaşmış. Dünyanın spaminin yarısının Srizbi ile enfekte olmuş bilgisayarlardan kaynaklandığı tahmin edilmektedir. Spam, siber suçlular için kârlı bir iş olmaya devam ediyor.

Ancak, daha önce komuta kontrol sunucularını barındıran ISP İnternet'ten kesildiğinde spam gönderenler Srizbi'nin kontrolünü kaybetti. Sunucuları San Jose, California'da yerleşik olan McColo, bilgisayar güvenliği uzmanları ve Washington Post tarafından bu ayın başlarında üst düzey sağlayıcılar tarafından kesilmişti.

Spam gönderenlerin Srizbi'ye bulaşmış bilgisayarları kontrol edememesi sağlandı. Ancak, Srizbi'nin kodu, spam göndericilerin böyle bir senaryo ortaya çıkması halinde, telsiz makinelerine yeniden bağlanabildikleri bir geri alma mekanizması içeriyordu.

Srizbi içindeki bir algoritma, bu etki alanlarının Internet'te canlı olması durumunda kötü amaçlı yazılımın yeni talimatlar arayacağı yeni alan adları oluşturacaktı.. Aynı algoritmaya sahip olan spam göndericiler yalnızca uygun alan adlarını kaydettirip sunucularına yönlendirdiler.

Spam gönderenler, en azından bir süredir bu sunucuları barındırmak için yeni bir ISP'ye ihtiyaç duyuyorlardı. Çok küçük bir İSS olan Starline Web Servisleri'ni bulmuşlar, ancak bu hizmet sağlayıcıları da bunları kestiler.

"Bu sitelerin kapatılmasından memnundum," diyor Estonya Bilgisayar Acil Müdahale Ekibi güvenlik görevlisi Hillar Aarelaid. CERT), Perşembe.

Starline Web Services ile iletişim kurma girişimleri başarısız oldu. Ancak Aarelaid, CERT'in şirketle iletişim halinde olduğunu ve kötüye kullanımla ilgili şikayetlere yanıt verdiğini belirtti.

Starline Web Services, bir başka Estonyalı şirket olan Compic'den bağlantıyı satın aldı. Compic, Estonya'nın CERT tarafından kötü amaçlı yazılım barındıran Web sitelerine sahip olduğunu belirterek, organizasyonda bir bilgi güvenliği uzmanı olan Tarmo Randel'in de belirttiğini söyledi.

Randel, CERT'in barındırdığı kötü amaçlı yazılım hakkında "sürekli" olarak Compic'e bildirildiğini söyledi. Randel, "ne kadar yüksek sesle çığlık yaptığımıza bağlı olarak siteleri kaldırmak için harekete geçecek" dedi. Compic, CERT'ye bir şikayet e-postası gönderdiğinde ve Estonya Ceza Polisinin kopyasını aldığında hızlı davranıyor, dedi.

Perşembe günü, Compic'in üst düzey sağlayıcısı Linxtelecom, Estonya ISP topluluğuna bir e-posta gönderdi. Compic'i kestirmeyi planlayan Randal, Linxtelecom, yerel ISP'leri ve telekomünikasyon operatörlerini daha büyük veri taşıyıcılarıyla birleştiren IP transit hizmetleri satıyor. Linxtelecom, e-postada kötüye kullanımla ilgili şikayetlerin yüzde 99'unun Compic ile ilgili olduğunu söyledi, dedi Randel.

Linxtelecom yetkilisi, e-postayı bilmediğini söyledi. Compic şikayetlere iki gün içinde cevap veriyor, ancak Linxtelecom geçmişte Compic tarafından sunulan Web sitelerine bağlantıların ardından şikâyetlerin kesildiğini belirtti, dedi.

Bilgisayar güvenliği uzmanları, ISP'lerin ve alan adı kayıt şirketlerinin bir avuç dolusu olduğunu söylüyorlar. spam işlemlerini desteklemek için siber suçlularla, sahte yazılım ve diğer dolandırıcılık satan web siteleriyle yakın bir şekilde çalışın.

Uluslararası doğaları, siber suçluların kapanmalara tepki gösterme hızları ve kolluk kuvvetlerinin ya da çıkarlarının olmaması nedeniyle operasyonların durması zordur.

McColo'nun kapanması, araştırmanın yayınlanmasının ardından şirkette ne ölçüde yer aldığını gösterdi. suçlu yeraltında

Benzer şekilde, Atrivo veya Intercage olarak bilinen bir başka kötü ISP, bilgisayar güvenliği topluluğundan gelen baskı baskısı sonucunda Eylül ayında tedarikçileri tarafından kesildi.

Son zamanlarda McColo ve Atrivo / Intercage'in internetten çıkarılması, gelecekte kötü amaçlı yazılımların bilinen diğer kötü amaçlı yazılımlarına daha fazla baskı uygulanmasının daha kolay olacağı anlamına geliyor. ”diyor, McAfee'nin Avert Labs güvenlik stratejisti Toralv Dirro Thurday.