Policja zhakowała komputery użytkowników, by zwalczyć botnet

Holenderska policja podjęła nietypowe działania w walce z cyberprzestępczością - na komputerach zamienionych z zombie PC zainstalowała bez zgody i wiedzy ich właścicieli własne oprogramowanie. Zamiar był szczytny, a osiągnięty efekt - spektakularny. Ale czy cel uświęca środki?

Specjalna jednostka ds. walki z cyberprzestępczością, działająca w strukturach holenderskiej policji, rozpoczęła śledztwo w sprawie botnetu Bredolab latem br. Sieć zombie PC działała znacznie dłużej - szacuje się, że do końca 2009 r. ilość spamu pocztowego zawierającego robaka Bredolab wyniosła ok. 3,6 miliarda e-maili3. Szkodnikiem mogło być infekowanych nawet do 3 mln maszyn miesięcznie, a liczba zombie PC w sieci mogła sięgać co najmniej 29 mln komputerów.

Robak, od którego wzięła się nazwa sieci komputerów zombie, jest zdolny do kradzieży danych zapisanych na dysku i przechwytywania informacji wpisywanych z klawiatury.

Ustalono, że serwery sterujące siecią botów były częścią infrastruktury firmy LeaseWeb, największej holenderskiej spółki hostingowej. LeaseWeb umożliwia swoim klientom wynajem dodatkowego miejsca na serwerach firmom trzecim (tzw. umowy resellerskie), nie ingeruje w to, komu to miejsce jest wynajmowane. W sprawie Bredolab okazało się, że serwery LeaseWeb zostały wynajęte osobie z Europy Wschodniej, która z kolei podnajęła owo dodatkowe miejsce na nich - w ramach umowy resellerskiej - operatorowi botnetu.

LeaseWeb zapewniło policji dostęp do 143 serwerów, które - jak dowiedzieli się śledczy - służyły do zarządzania siecią zombie PC. Dzięki temu funkcjonariusze we współpracy z Holenderskim Instytutem Kryminalistyki, tamtejszym oddziałem CERT oraz wytwórcą oprogramowania zabezpieczającego Fox IT mogli podjąć działania przeciw operatorowi/operatorom botnetu.

Akcja rozpoczęła się wczesnym popołudniem w poniedziałek, 25 października. W jej ramach funkcjonariusze jednostki anty-cyberprzestępczej rozpoczęli zastępowanie niebezpiecznego bota - "dobrym".

W ten sposób użytkownicy komputerów zainfekowanych Bredolabem uruchamiając przeglądarkę internetową zaczęli być przekierowywani na stronę informującą o zagrożeniu. Witryna ostrzega, że jeśli została wyświetlona automatycznie, to znaczy, że komputer stał się częścią botnetu. Strona zawiera też informacje, jak pozbyć się Bredolaba z systemu.

Kiedy operator botnetu zauważył próbę przejęcia, zainicjował atak DDoS skierowany przeciw urządzeniom i infrastrukturze wykorzystywanej przez śledczych. Atak nie powiódł się. Co więcej, we wtorek, 26 października zatrzymany został w Armenii 27-letni obywatel tego kraju, podejrzany o kierowaniem botnetem Bredolab.

Komentarz

Pozostaje tylko pytanie, czy holenderscy funkcjonariusze w walce o ochronę prawa i użytkowników, sami nie złamali przepisów. W wielu krajach nieautoryzowane wprowadzenie zmian w systemie komputerowym jest prawnie zabronione. Graham Clueley, reprezentujący firmę antywirusową Sophos uważa jednak za mało prawdopodobne, by ktokolwiek narzekał na działania Holendrów. Skoro tak trudno przekonać część użytkowników, że w Sieci są stale wystawieni na niebezpieczeństwo, to być może należy im to udowadniać w taki właśnie sposób.


Zobacz również