Koobface na kolanach?

Koobface - jeden z najbardziej aktywnych w ostatnich miesiącach botnetów - został właśnie zdekapitowany. Pracownicy specjalizującej się w bezpieczeństwie informatycznym firmy SecDev Group poinformowali, że udało im się "zdjąć" wszystkie serwery kontrolujące osławioną sieć komputerów-zombie.

Akcja była zakrojona na wielką skalę - oprócz specjalistów z SecDev Group (którzy ją koordynowali), w likwidowaniu serwerów kontrolujących Koobface'a brali udział m.in. pracownicy firm hostingowych oraz przedstawiciele wymiaru sprawiedliwości z kilku krajów. Wiadomo, że zlikwidowano trzy niezależne serwery C&C (command-and-control) i że co najmniej jeden z nich zlokalizowany był w Wielkiej Brytanii.

To jeszcze nie koniec?

Eksperci ostrzegają jednak przed wpadaniem w przedwczesny entuzjazm - tłumaczą, że choć Koobface został na razie praktycznie sparaliżowany, to istnieje duża szansa, że operatorom botnetu uda się uruchomić nowe serwery i podłączyć do nich komputery zainfekowane przez Koobface'a.

Nart Villeneuve, szef działu technicznego SecDev Group, tłumaczy, że przygotowania do operacji trwały już od ponad dwóch tygodni - specjaliści stopniowo namierzali kolejne serwery C&C i przygotowywali się do ich wyłączenia (w tym celu kontaktowano się z firmami hostingowymi, z usług których korzystali przestępcy). Niezmiernie ważne było, by wszystkie serwery zostały "zdjęte" w tym samym momencie - dzięki temu przestępcy natychmiast stracili kontrolę nad wszystkimi komputerami-zombie i nie byli w stanie przekierować ich na nowe serwery.

Villeneuve i jego współpracownicy skontaktowali się również z setkami dostawców usług internetowych, a także Facebookiem oraz Google - firmom tym podano dane klientów, których komputery są elementami botnetu (tzn. zostały zainfekowane przez trojana Koobface).

Nietypowy trojan

Dodajmy, że Koobface jest dość nietypowym szkodnikiem - trojan wykorzystuje do rozsyłania się serwis Facebook, rozsyłając z zainfekowanych kont prośby o odwiedzenie pewnej strony w serwisie blogowym Google Blogspot. Na owej stronie pojawia się monit o zainstalowanie "kodeka wideo" - oczywiście, zamiast niego w systemie instalowany jest trojan.

Tysiące komputerów zainfekowanych przez Koobface tworzą tzw. botnet, czyli sieć komputerów-zombie, wykorzystywanych do rozsyłania spamu, wirusów itp. Z analiz przeprowadzonych przez specjalistów ds. bezpieczeństwa wynika, że ta działalność jest bardzo dochodowa (dzienne zyski operatorów botnetu wahają się pomiędzy 1000 a 19 000 USD).

Co ciekawe, specjaliści zwracają uwagę, że gang kontrolujący ten botnet cechuje się pewną etyką. Przestępcy nie okradają kont właścicieli zainfekowanych komputerów (mimo iż są w stanie to robić - bo trojan przechwytuje loginy i hasła do banków) - ograniczają się do zarabiania na rozsyłaniu spamu i złośliwego oprogramowania. "Oni mają swoje zasady - w korespondencji z nami podkreślali kilkakrotnie, że starają się możliwie jak najmniej szkodzić swoim ofiarom" - tłumaczy Villeneuve.


Zobacz również