Aksjonerte mot digert botnett

«Grum» har blitt brukt til å sende ut voldsomme mengder søppelpost.

Det er lov å håpe på at mengden av søppelpost blir noe redusert etter at Grum-botnettet er slått ut.
Det er lov å håpe på at mengden av søppelpost blir noe redusert etter at Grum-botnettet er slått ut. Bilde: PantherMedia / Daniel Cosma
Harald BrombachHarald BrombachNyhetsleder
20. juli 2012 - 09:21

Det som trolig var verdens tredje største spambotnett, ble så godt som knust denne uken. Dette opplyser Atif Mushtaq i sikkerhetsselskapet FireEye i et blogginnlegg.

Botnettet har bestått av minst 120 000 datamaskiner. Dette er antallet unike IP-adresser som har blitt registrert i forbindelse med spamaktiviteten, som har vært hovedformålet med virksomheten. Men Mushtaq skriver at botnettet nok har bestått av langt flere zombier, sier mange datamaskiner befinner seg bak brannmurer som sperrer mot utgående e-post som ikke går via gitte epostservere. I stedet kan disse maskinene ha blitt brukt til å være vert for nettsteder som spammeldingene har referert til.

Ifølge FireEye var botnettet, som har fått navnet «Grum», verdens største spambotnett i januar i år. Det stod da for 1/3 av all spamutsending globalt. Nå skal det være passert av botnettene «Cutwail» og «Lethic», men skal likevel ha støtt for 17,4 prosent av spamtrafikken. Mye tyder på at botnettet oppstod allerede i 2008.

Mushtaq forteller at aksjonen mot Grum utviklet seg til en jakt. I utgangspunktet ble botnettet styrt via CnC-servere i Nederland, Panama og Russland, men kort tid etter at disse serverne ble stengt ute fra nettet, ble det opprettet en rekke nye servere i Ukraina.

Mushtaq skriver at Ukraina ofte oppfattes som en trygg havn for botnett-gjetere, men det var ikke tilfellet denne gangen.

Fortsatt sender drøyt 20 000 av zombie-maskinene ut spammeldinger, men de kan ikke lenger kontrolleres av bot-gjeterne, og Mushtaq håper at så snart spam-malene forfaller, så vil også resten av aktiviteten forsvinne.

Ifølge Mushtaq har mange enkeltindivider bidratt til aksjonen, blant annet ansatte i Spamhaus og russiske CERT-GIB.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra