Leder for Microsofts enhet for kyberkrim («Digital Crimes Unit») Richard Boscovich har et innlegg på Technet der han beskriver et samarbeid med USAs føderale politi for å uskadeliggjøre botnett av typen «Citadel» og identifisere og pågripe de ansvarlige for Citadel-relatert svindel og tyveri som skal ha kostet banker, bedrifter og individer over 500 millioner dollar (2,9 milliarder kroner) over de siste halvannet år.
Microsoft hadde fått en rettslig kjennelse for kyberangrep mot Citadel-botnett, og tok kontakt med FBI i forbindelse med gjennomføringen. Tidligere har Microsoft tatt ned seks botnett på egen hånd. I en operasjon med «Zeus» i mars i fjor lyktes det å ta ned rundt en firedel av til sammen 800 kommando- og kontrollservere.
Operasjonen mot Citadel, døpt «Operation b54», skal være første gang amerikansk politi har samarbeidet med privat sektor om et sivilt beslag i et angrep mot botnett.
En melding fra nyhetsbyrået Reuters gir ytterligere innsikt i Operation b54.
Som følge av operasjonen antas det at rundt 1000 av anslagsvis 1400 Citadel-botnett er satt ut av spill.
Myndigheter i 80 land arbeider med å identifisere en antatt hovedperson bak dekknavnet Aquabox. I tillegg til Aquabox jaktes det på minst 81 «gjetere» som bidrar til den løpende driften av Citadel-botnettene. Opptil 5 millioner pc-er verden over skal være infisert med Citadel, primært i USA, Vest-Europa, Hongkong, India og Australia. Det antas at Aquabox holder til i Øst-Europa.
Flere titalls finansinstitusjoner skal være rammet av svindel og innbrudd relatert til Citadel, blant dem American Express, Bank of America, Citigroup, Credit Suisse, PayPal, HSBC, JPMorgan Chase, Royal Bank of Canada og Wells Fargo.
Av de mer enn 1000 botnettene som ble uskadeliggjort i går, var 455 styrt fra 40 datasentraler i USA. De øvrige ble styrt fra flere titalls andre land. Ifølge Boscovich er dataoperatørene typisk uvitende om at deres servere styrer botnett.
Citadel skal være svært komplekst og bruker en rekke infeksjonsmetoder. Koden dukket opp tidlig i 2012. Den selges på nett i pakker som koster fra 2400 dollar og oppover. Ifølge Boscovich tjener ikke Aquabox bare på dette salget. Han skal også få prosenter av gevinsten som kundene sikrer seg gjennom Citadel-relatert svindel og innbrudd.
Citadel utnytter sårbarheter i piratkopiert Windows XP. I tillegg til smittende kode, inneholder Citadel-pakkene moduler for ulike typer kyberkriminalitet, blant annet for spam, distribuert tjenestenekt og tyveri fra banker. Aquabox skal ha samlet sine kunder i et hemmelig forum for å få tilbakemeldinger om nye måter å tjene penger på Citadel.
Boscovich skriver på Technet at Citadel-opphavene blokkerer sine ofres tilgang til antivirustjenester, og bruker falske produktnøkler for å hindre oppsporing av piratkopiert Windows XP. Han legger til at dette understreker hvor viktig det er å bytte til nyere Windows-versjoner med sterkere vern mot piratkopiering, falske produktkoder og generelt bedre sikkerhetsegenskaper.
