Person digi.no møtte under opptog på Santa Monica Pier i november 2008. (Bilde: Harald Brombach)

Smarte zombier våkner til live igjen

Verdens største botnett overlevde takket være lur algoritme. Ny massiv spambølge er på vei.

Srizbi regnes som et av verdens største botnett. Totalt skal dette nettet bestå av nærmere en halv million infiserte PC-er.

De kriminelle kreftene som står bak, kontrollerer med all sannsynlighet en mer omfattende infrastruktur enn selv Microsoft, Amazon og Google gjør i sine gigantiske nettløsninger.

Kombinert utgjør dette en enorm maskinkraft og båndbredde, som blant annet benyttes til å sende spam. En hovedvekt av all verdens søppelpost sendes på denne måten.

Den amerikanske webhost-leverandøren McColo ble nylig avslørt som vertskap for det beryktede Srizbi-botnettet. Straks tjenesten ble stengt falt mengden spam over hele internett med utrolige 70 prosent.

    Les også:

Stengingen førte nemlig til at de kriminelle kreftene bak dette botnettet mistet kontrollen over de infiserte maskinene.

Ifølge sikkerhetsselskapet FireEye hadde imidlertid Srizbi en innebygget backup-funksjon som tok høyde for at kontrollserverne kunne bli deaktivert.

Den ondsinnede koden inneholdt en matematisk algoritme som genererte vilkårlige, unike domenenavn, som de infiserte maskinene styres til å besøke. På denne måten kunne de få utdelt nye instruksjoner og oppdatert kode.

Sikkerhetsselskapet trodde lenge de kunne holde botnettet i sjakk ved å registrere domenenavn som Srizbi var programmert til å benytte. I tillegg håpet de på å kunne samle kunnskap om hvordan botnettet fungerte. Men dette viste seg å bli for dyrt for dem, og de måtte gi opp.

- Dette kostet oss masse penger. Vi satte i sving de rette menneskene, men til slutt viste det seg som en umulig oppgave. Dagen etter vi ga oss begynte bakmennene å plukke opp domenenavnene, sier seniorforsker Alex Lanstein i FireEye til Washington Post.

Selskapet fant at de måtte registrere over 450 domener hver uke dersom de skulle beholde kontrollen over nettverket.

Den opprinnelige planen deres var å instruere de infiserte maskinene til å avinstallere den ondsinnede koden som styrer dem, men også dette bød på problemer.

Ansatte hos FireEye kom til at dette både ville være en juridisk tvilsom affære, samt ville kunne gjøre stor skade på datamaskinene.

I likhet med andre sofistikerte botnett er den ondsinnede koden i Srizbi nemlig dypt integrert i systemene. Dersom programmet slettes er sjansen stor for at de infiserte maskinene slutter å fungere.

Mange vil si at sikkerhetsselskapet med dette gikk glipp av tidenes sjanse til å begrave Srizbi, og dermed et av verdens aller størsteleverandører av spam, en gang for alle.

Botnettet er nemlig tilbake, og er igjen under kontroll av dets kriminelle bakmenn ifølge et blogginnlegg av FireEye.

- Mange vil de nærmeste dagene spørre seg hvordan et av verdens største botnett fikk lov til å oppdatere seg når et sikkerhetsselskap nesten hadde full kontroll over det, skriver to av selskapets sikkerhetseksperter.

    Les også:

Til toppen