Danskere nedlægger stort botnet - bagmænd hævner sig med massivt DDoS-angreb

Illustration: leowolfert/Bigstock
Det danske it-sikkerhedsfirma CSIS blev ramt af en massiv trafik på 98 gigabit/s, efter virksomheden i en koordineret indsats fik neutraliseret et botnet med 8.700 pc'er.

Et stort netværk af inficerede pc'er fra Danmark, Norge og Sverige blev afvæbnet torsdag som følge af en koordineret international indsats. Det fik bagmændene til at forsøge at hævne sig på det danske sikkerhedsfirma CSIS, som havde været med i aktionen.

»Da de fandt ud af, at de havde mistet deres botnet, rettede de et andet botnet mod vores server. Jeg tror, det toppede på omkring 98 gigabit pr. sekund,« fortæller sikkerhedskonsulent Peter Kruse fra CSIS til Version2.

Der var tale om et botnet, som bestod af flere tusinde pc'er i Skandinavien, som var blevet inficeret med spionprogrammet Citadel. Det er en bagdør, som bruges til at stjæle informationer fra de inficerede pc'er.

»De tager alt af værdi på maskinen. Hotmail-kodeord, kreditkortnumre, og de kan optage video og tage skærmdumps. Citadel er pænt avanceret, så det var noget, vi tog alvorligt,« siger Peter Kruse.

Pc'erne var blevet inficeret som følge af såkaldte drive-by-downloads fra hjemmesider med CMS-systemet Wordpress, hvor administrator-kodeordet ikke var tilstrækkeligt sikkert.

CSIS har samarbejdet med kolleger og myndigheder i blandt andet USA og Rusland for at koordinere indsatsen mod det botnet, der bestod af skandinaviske pc'er.

Botnettet benyttede sig af otte forskellige domæner og servere, og derfor skulle otte forskellige knudepunkter lukkes ned på samme tid, for at aktionen mod botnettet skulle virke.

»De er jo snu og bruger forskellige domæner. Så hvis de har bare ét tilbage, så kan de opdatere resten af botnettet til at pege på nogle nye. Så derfor skal man gøre det samtidigt,« siger Peter Kruse.

Et af de otte domæner, som blev lukket ned, blev overtaget af CSIS og i stedet for at sende data til bagmændene bag botnettet, blev dataene sendt ud i ingenting for at måle, hvor meget data der kom ind og få en idé om botnettets størrelse.

I de timer, hvor botnettet var aktivt, registrerede CSIS cirka 8.700 pc'er, der var del af botnettet, og der indløb adskillige gigabytes data.

Da bagmændene opdagede, at deres forbindelse til botnettet var blevet kappet, reagerede de ved at sætte pc'erne i et andet botnet til at bombardere CSIS' mailserver med op til 98 gigabit/s trafik. Den trafik blev dog også blot sendt ud i ingenting uden for CSIS' firewall og gjorde ingen skade.

»Nu har vi fået løsrevet nogle tusinde danske pc'er fra det her botnet. Det er ikke sidste gang, vi agter at bruge det her våben,« siger Peter Kruse om det internationale samarbejde om at lukke flere botnet-servere på samme tid.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Peter Mogensen

Ok ... så CSIS har IP-nummeret på nogle tusind Danske PC'ere som de ved er inficeret med "noget de tager alvorligt". Så selvom bagmændene nu ikke har fat i dem længere, kan jeg ikke lade være med at tænke over hvorfor man ikke tager fat i folk og orienterer dem? Jovist ... sikkert fordi der ikke er procedurer på plads til at gøre det nemt, så det vil være et større arbejde. Men hvorfor har man ikke det?

En stor del af problemet er jo at folk rundt omkring på nettet - også i Danmark - ikke har begreb skabt om hvad de vil sige at tage sikkerhed alvorligt. Alene tanken om at blot man har "antivirus" installeret, så er man sikker (*). ... eller at løsning på at være kompromiteret blot er at bede anti-virus-programmet "rense" maskinen. Hvis vi skal ud af denne redelighed med tusindvis af kompromiterede maskiner, så ville jeg jo regne med at der skal en smule mere oplysning til. Og her kunne det da have en ganske god opdragende effekt, hvis det var alm. praksis at ens ISP henvendte sig til kunderne og orienterede dem om at de var "hacket".

*: For slet ikke at tale om alle de tåbelige steder man møder kravet om at man skal have anti-virus for at en juridisk aftale gælder.

  • 11
  • 1
#3 Kim Henriksen

Så selvom bagmændene nu ikke har fat i dem længere, kan jeg ikke lade være med at tænke over hvorfor man ikke tager fat i folk og orienterer dem? Jovist ... sikkert fordi der ikke er procedurer på plads til at gøre det nemt, så det vil være et større arbejde. Men hvorfor har man ikke det?

Det er faktisk ganske normalt for postmaster eller hostmaster hos TDC at f.eks. lukke ned for kundernes internet forbindelse pga. spam/virus :-)

så i bund og grund kunne CSIS blot dele alle kendte ip'er op, ud fra ISP og smide en mail til abuse@<indsæt_isp_domæne_her> også burde aben være skubbet videre.

Men det er nu nok meget rart at holde liv i botnettet, så man kan samle data, fremfor bare at få det aflivet.

8000-9000 hosts til eller fra, gør nok ikke den store skade, hvis man kan genere 98 Gbit/s trafik, ud fra hvad man ellers har tilovers, så det bedre at holde liv i dem, og samle data.

  • 0
  • 0
#4 Peter Mogensen

Det er faktisk ganske normalt for postmaster eller hostmaster hos TDC at f.eks. lukke ned for kundernes internet forbindelse pga. spam/virus :-)

Ok ... det har jeg så bare ikke registreret. Måske holder folk det for sig selv, hvis de får sådan en henvendelse? Jeg må indrømme at sidst jeg kiggede på det i praksis konkluderede at det havde TDC ingen hensigt om var da "code red" huserede.

så i bund og grund kunne CSIS blot dele alle kendte ip'er op, ud fra ISP og smide en mail til abuse@<indsæt_isp_domæne_her> også burde aben være skubbet videre.

Ja - f.eks. Men man kunne jo godt stille et lidt mere konkret beredskab op uden at det skulle koste alverden.

Men det er nu nok meget rart at holde liv i botnettet, så man kan samle data, fremfor bare at få det aflivet.

Hmm... ville CSIS så ikke bare "drive" et botnet selv? Ville det være lovligt?

  • 0
  • 0
#5 Christoffer Kjeldgaard

Jeg tror ikke man ville holde botnettet i live for at indsamle brugerdata, men simpelthen for at undersøge hvilke svagheder botnettet udnytter, spredningsmetode, omfang og måske kan man lære noget om bagmændende. Det er klart at CSIS arbejder tæt sammen med myndighederne, og ikke gør det "alene" - det er jo en løbende vurdering der er op til den dommer der er tilknyttet sagen, om man skal fortsætte overvågningen, eller ej.

  • 0
  • 0
#8 Brian Hansen

Jo jeg mener også det er imod de vilkår man typisk indgår ved et internet abonnement at have open relays osv, ikke at jeg nogensinde har læst efter. Min forgænger havde engang sat en Linux maskine op i DMZ'en, og glemt den stod der. Standard login og det hele. Den blev hijacked til et DoS mod en anden dansk virksomhed, og så dukkede politiet ellers op og ville arrestere "hackeren" :P

  • 0
  • 0
#12 Asker Dalsgaard

Burde den form for service ikke være en del af skatten? Tænker... Vi bruger vel ret mange penge på at forsvare os mod angreb og Vi, er jo staten, men os som borgere får ikke det samme ud af det som, når vejen bliver repareret... Der er flere der skriver, at det ikke burde koste en bondegård at tilbyde den service. Byrden burde vel også bliver mindre, hvis folket hverisær bliver oplyst om at deres pc er angrebet...

Jeg ved med mig selv, hvis jeg fik sådanne mail vil jeg prompte reager - ergo så er der 1 mindre der er angrebet...

  • 0
  • 0
#16 Ulrich Østergaard

CSIS problem er at de ikke nødvendigvis kan se klient adressen som er inficeret. Specielt ifbm. NAT og dynamisk allokeret IP. Jeg har tidligere agiteret for at udnytte sessions logs fra logningsdirektivet til dette formål, men fundet meget lidt gehør fra ISP'ernes side. Det skyldes muligvis undtagelsen "sampling" hvor tilfældig logning af hver 500 pakke sanktioneres. Det sænker radikalt sandsynligheden for at der er brugbart data i logs. Som så meget andet skal der nok lig på bordet førend hele cyber problematikken bliver taget seriøst.

  • 1
  • 0
#17 Jesper Lund

CSIS problem er at de ikke nødvendigvis kan se klient adressen som er inficeret. Specielt ifbm. NAT og dynamisk allokeret IP. Jeg har tidligere agiteret for at udnytte sessions logs fra logningsdirektivet til dette formål, men fundet meget lidt gehør fra ISP'ernes side.

For det første kan ISP'erne ikke bruge data fra sessionslogningen til dette formål med gældende lovgivning. Data kan kun udleveres til politiet med dommerkendelse.

For det andet: Hvis problemet er NAT, og du ikke aner hvilken klient bag NAT som er inficeret, vil sessionslogningen ikke hjælpe dig. Der registreres offentlige IP adresser.

  • 0
  • 0
Log ind eller Opret konto for at kommentere