Et stort netværk af inficerede pc'er fra Danmark, Norge og Sverige blev afvæbnet torsdag som følge af en koordineret international indsats. Det fik bagmændene til at forsøge at hævne sig på det danske sikkerhedsfirma CSIS, som havde været med i aktionen.
»Da de fandt ud af, at de havde mistet deres botnet, rettede de et andet botnet mod vores server. Jeg tror, det toppede på omkring 98 gigabit pr. sekund,« fortæller sikkerhedskonsulent Peter Kruse fra CSIS til Version2.
Der var tale om et botnet, som bestod af flere tusinde pc'er i Skandinavien, som var blevet inficeret med spionprogrammet Citadel. Det er en bagdør, som bruges til at stjæle informationer fra de inficerede pc'er.
»De tager alt af værdi på maskinen. Hotmail-kodeord, kreditkortnumre, og de kan optage video og tage skærmdumps. Citadel er pænt avanceret, så det var noget, vi tog alvorligt,« siger Peter Kruse.
Pc'erne var blevet inficeret som følge af såkaldte drive-by-downloads fra hjemmesider med CMS-systemet Wordpress, hvor administrator-kodeordet ikke var tilstrækkeligt sikkert.
CSIS har samarbejdet med kolleger og myndigheder i blandt andet USA og Rusland for at koordinere indsatsen mod det botnet, der bestod af skandinaviske pc'er.
Botnettet benyttede sig af otte forskellige domæner og servere, og derfor skulle otte forskellige knudepunkter lukkes ned på samme tid, for at aktionen mod botnettet skulle virke.
»De er jo snu og bruger forskellige domæner. Så hvis de har bare ét tilbage, så kan de opdatere resten af botnettet til at pege på nogle nye. Så derfor skal man gøre det samtidigt,« siger Peter Kruse.
Et af de otte domæner, som blev lukket ned, blev overtaget af CSIS og i stedet for at sende data til bagmændene bag botnettet, blev dataene sendt ud i ingenting for at måle, hvor meget data der kom ind og få en idé om botnettets størrelse.
I de timer, hvor botnettet var aktivt, registrerede CSIS cirka 8.700 pc'er, der var del af botnettet, og der indløb adskillige gigabytes data.
Da bagmændene opdagede, at deres forbindelse til botnettet var blevet kappet, reagerede de ved at sætte pc'erne i et andet botnet til at bombardere CSIS' mailserver med op til 98 gigabit/s trafik. Den trafik blev dog også blot sendt ud i ingenting uden for CSIS' firewall og gjorde ingen skade.
»Nu har vi fået løsrevet nogle tusinde danske pc'er fra det her botnet. Det er ikke sidste gang, vi agter at bruge det her våben,« siger Peter Kruse om det internationale samarbejde om at lukke flere botnet-servere på samme tid.