Telenor stoppet globalt DDoS-nettverk

Oppdagelser gjort av Telenor førte til at et globalt nettverk med infiserte maskiner ble stengt

Telenors sikkerhetssenter, Security Operations Center (SOC), oppdaget tirsdag at maskinen til en av Telenors kunder var blitt infisert av en trojansk hest. Oppdagelsen ble gjort i forbindelse analyser av nettverktrafikken til og fra maskinen. Det viste seg at maskinen kommuniserte på en IRC-kanal uten av eieren visste om det.

Frank Stien, daglig leder ved SOC, forteller til digi.no at senteret greide å spore kilden til trafikken til en IRC-server i Singapore. Etter å ha tatt forholdsregler for å beskytte kunden, informerte SOC sikkerhetsnettverket SANS, som har utspring fra den amerikanske marinen og FBI. SANS greide så å stenge serveren og en rekke webservere med pekere til den. SANS fant også ut at omtrent 10.000 maskiner globalt var blitt infisert.

Brukere som logger nettverkstrafikken, kan sjekke om de har vært en del av nettverket ved å se etter trafikk sendt til eller fra en maskin med IP-adressen 203.81.40.172 via TCP-port 10009.

Stien forteller til digi.no at maskinene som var blitt infisert ble administrert ved hjelp av massekommunikasjonsmulighetene i IRC og utgjorde et såkalt Botnet. Et eventuelt distribuert tjenestenektangrep (DDoS) mot et angitt mål ville kunne bli styrt via dette systemet.

    Les også:

Trojaneren som de mange tusen maskinene var smittet med, kalles RXbot - også kjent som Rbot eller SDBot. Dette er ifølge Telenor en trojaner som finnes i flere hundre nyanser og som gir bakmenn muligheten til blant annet å logge tastetrykk, stjele produktnøkler, sette i gang webkameraer for å ta bilder, samt å sende, motta og kjøre filer på de infiserte maskinene. Trojaneren, som bare kan infisere Windows-baserte maskiner, vil forsøke å spre seg ved hjelp av ulike svakheter i Windows, i tillegg til dårlig sikrede "nettverksdelinger" og bakdører lagt igjen av andre virus, ormer eller trojanere.

På spørsmål om nettverket av infiserte maskiner kan ha blitt brukt til å utføre et faktisk distribuerte DoS-angrep før det ble stengt, svarer Stien at han ikke tror det er tilfellet.

- I hvert fall ikke hvor vår kundes maskin har vært involvert, sier han.

Til toppen