(Bilde: zeustracker.abuse.ch)

Botnett reiste seg fra de døde

Operatører greide å stanse en kriminell nettilbyder, men bare over natta.

Misbruk av Internett til å spre ondsinnet kode er en langt alvorligere trussel, målt i både allmenn sikkerhet og i kroner og øre, enn piratkopiering. Det er et paradoks at mens film- og musikkbransjen krever at nettilbydere står på barrikadene mot piratene, er det få røster som reiser seg for at nettilbyderne, hvis kanaler blir misbrukt til virkelig alvorlig kriminalitet, pålegges å samarbeide om å stenge kriminelle tjenester.

De siste ukene er det imidlertid dukket opp to tilfeller der denne typen tiltak øyensynlig er prøvd. I begynnelsen av mars gikk Microsoft til retten, og fikk en forføyning som gjorde det mulig å stenge nettstedene bak botnettet kjent som Waledac.

Natt til tirsdag denne uken konstaterte nettovervåkerne til blant annet Cisco Scansafe og RSA FraudAction at en nettilbyder i Kasakhstan, Troyak, plutselig var totalt avskåret fra omverdenen. Troyak leverer en rekke kriminelle tjenester, og huser mange servere brukt til å spre botnettrojanere, særlig Zeus som står bak et botnett på opptil 100 millioner pc-er. Cisco og RSA merket seg at spredningen av Zeus stanset omtrent umiddelbart.

Nettstedet abuse.ch, som leverer en egen tjeneste der Zeus spores, har siden samlet denne statistikken:

Bilde: zeustracker.abuse.ch

Kurven viser klart hvordan stengningen var effektiv 9. mars, og enda mer effektiv 10. mars. Siden er det tydelig at spredningen av Zeus har tatt seg opp igjen.

RSA og Cisco bekrefter i rapporter og i intervjuer med blant annet Dark Reading at stengningen av Troyak hadde en klar, men tidsbegrenset virkning på botnettet Zeus.

Hva som egentlig førte til at Troyak ble avskåret fra nettet, er ikke bekreftet. Det mest sannsynlige er at en eller flere av dem som opererer stamnettene som Troyak er avhengig av, har tatt noen hensiktsmessige tiltak. I et intervju med The Register viser Cisco Scansafe til data fra robtex.com som tyder på at to nettilbydere, Ihome i Ukraina og Oversun Mercury i Russland, kan ha samarbeidet om stengningen.

Selv om tiltakets virkning var begrenset i tid, mener både Cisco og RSA at stengning av nettilbydere som bevisst medvirker til å spre ondsinnet kode, er veien å gå. Selv om Zeus skulle gjenoppstå hundre prosent, bidrar stengning til å øke utgiftene til de kriminelle, og dermed også lønnsomheten i de lysskye geskjeftene bak virus, ormer og trojanere.

Et annet poeng er at det bidrar til å bevisstgjøre nettilbydere allment, slik at det ikke lenger kan vende det blinde øyet til kriminaliteten som skjer i deres nettverk.

    Les også:

Til toppen