Europol i storstilet politiaktion mod ondsindet botnet

Botnettet Beebone, som installerer malware på ofrenes computere, er blevet lagt ned af internationale politi-myndigheder i en større aktion.

Et botnet bestående af mindst 12.000 inficerede computere var målet for en større politiaktion onsdag 8. april 2015.

Europols European Cybercrime Center (EC3) stod bag aktionen sammen med andre europæiske og amerikanske politimyndigheder, heriblandt FBI.

Beebone beskrives af Europol som en bot, der downloader forskellige typer af malware ned på ofrenes computere. Selvom botnettet ikke er blandt de største, så er malwaren af en sofistikeret slags, der kompromitterer sikkerheden på de inficerede computere ifølge Europol.

Metoden, som blev brugt til at neutralisere botnettet, bestod i at registrere, udelukke og opsnappe alle de domænenavne, som malwaren brugte til at kommunikere igennem, hvorefter trafikken blev omdirigeret.

Myndighederne har siden bedt internetudbydere og varslingstjenester over hele verden om at informere de ramte brugere.

W32/Worm-AAEH malwaren, som botnettet distribuerede, blev observeret i over fem mio. unikke tilfælde i over 23.000 systemer i 2013-14 ifølge Europol. Det spredte sig over 195 lande, hvoraf de mest ramte har været USA, Japan, Indien og Taiwan.

It-sikkerhedsfirmaerne Intel Security, Kaspersky og Shadowserver bidrog til aktionen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Nicolai Rasmussen

Du kunne bruge botnettet til gode ting. Et eksempel kunne være spredning af sikkerheds opdateringer til modvirkning af ondsindet inficering fra andre botnets. Lidt langt ude, men stadig et eksempel - så nej det er ikke en pleonasme.

  • 1
  • 0
Rune Jensen

Hvad du snakker om, lyder som distribueret sikkerhed i form af både system og-programopdateringer, som f.eks. i Ubuntu. Forskellen her er, det er til computere hvor ejeren selv har tilmeldt sig qua hans eller hendes distro.

MAO det er en feature.

For god ordens skyld skal nævnes at den form for distribution er blevet udnyttet til onde formål. Tilbage i 2006 blev der medsendt ondsindet kode i sikkerheds og programopdateringer. Kan dog ikke huske til hvilke distroer. Men det er klart, kan man komme ind bag distributøren, har man helt særlig magt over samtlige dets brugere.

  • 0
  • 0
Jesper Lund

Metoden, som blev brugt til at neutralisere botnettet, bestod i at registrere, udelukke og opsnappe alle de domænenavne, som malwaren brugte til at kommunikere igennem, hvorefter trafikken blev omdirigeret.

Hvordan gør Europol det? Jeg har set denne beskrivelse flere steder, bl.a. Europols hjemmeside, men specielt et IT-medie burde grave lidt mere i dette issue.

  • 2
  • 0
Henrik Madsen

Hvordan gør Europol det? Jeg har set denne beskrivelse flere steder, bl.a. Europols hjemmeside, men specielt et IT-medie burde grave lidt mere i dette issue.

Mon ikke man har kigget malwaren igennem og fundet alle de C&C servere som softwaren kan kontakte og så i europol regi har fået dommerkendelser til at lukke/redirecte trafikken til disse servere og så eksekveret disse dommerkendelser på samme tid i samarbejde med dem som ejer serverne.

Hvis man tager 99 ud af 100 servere offline så kan banditterne jo stadigvæk bruge den sidste server til at pushe en ny liste med nye C&C servere til de inficerede computere og så er man jo lidt vidt.

Hvis jeg kørte sådan et botnet så ville jeg da have 10-20% C&C servere kørende som backup som jeg kunne skifte til på denne måde i en fart hvis jeg blev "angrebet" af "fjenden" (myndighederne).

  • 0
  • 0
Log ind eller Opret konto for at kommentere