Likwidacja Grumu. To był największy spamowy botnet na świecie

Likwidacja Grumu. To był największy spamowy botnet na świecie

Fot. ssuni/iStockphoto

Grum, największy spamowy botnet na świecie z serwerami komend i kontroli umieszczonymi w Panamie, Rosji i na Ukrainie, odpowiedzialny za rozsyłanie 18 proc. globalnego spamu, został zamknięty 19 lipca br.

Według The Register, botnet przejmował komputery poprzez znane konie trojańskie i szkodliwe programy (malware) znajdujące się w e-mailach i na przejętych przez hackerów stronach internetowych.

Według informacji przekazanych przez Computerworld, Grum nie był zbyt duży jak na botnet - liczył 120 tys. przejętych komputerów. Największym na świecie botnetem wyspecjalizowanym w atakach DDOS i wykradaniu informacji była zamknięta w marcu 2010 roku Mariposa, licząca 12,5 mln przejętych na całym świecie komputerów PC i serwerów.

Grum zaliczał się jednak do nowej klasy bardzo wydajnych, niewielkich botnetów, posługujących się protokołem sieci wymiany plików P2P w swoich serwerach komend i kontroli (C&C) zarządzających grupami przejętych komputerów PC. Serwery te były rozproszone, choć największe centra kierowania znajdowały się na Ukrainie, w Panamie i Rosji.

Według BBC, eksperci z firmy bezpieczeństwa FireEye i zajmującej się walką ze spamem firmy SpamHaus wraz z lokalnymi dostawcami Internetu z wielu krajów pracowali nad likwidacją resztek botnetu. Jak powiedział BBC Atif Mushtaq, ekspert bezpieczeństwa z Fire Eye ,,likwidacja botnetu była rezultatem wysiłków wielu osób". 17 lipca br. udało się zamknąć umieszczony w Holandii serwer C&C. Według Computerworld był on odpowiedzialny za zarządzanie zachodnioeuropejską częścią botnetu.

18 lipca br. zamknięto grupę głównych serwerów komend I kontroli botnetu, umieszczonych w Panamie, jednak, jak zauważył Mushtaq, zarządzający botnetem bardzo szybko się w tym zorientowali i przenieśli operacje do zapasowych serwerów C&C umieszczonych na Ukrainie. Te ostatnie udało się zlikwidować 19 lipca i obecnie został już tylko jeden serwer zarządzający, umieszczony w Rosji. Kraje te są rodzajem bezpiecznego portu dla właścicieli botnetów - jak zauważył Computerworld przyczyną jest brak dostatecznej wiedzy fachowej w tamtejszych organach władzy i często łapówkarstwo jej przedstawicieli.

W maju br. rosyjski hacker Georgij Awanesow został skazany na cztery lata więzienia za utworzenie botnetu spamowego Bredolab, przynoszącego, według ekspertów bezpieczeństwa miesięczny dochód rzędu 80 tys. funtów.

Jak zauważył Atif Mushtaq, hackerzy zarządzający Grum starają się przenieść operacje kontroli i komend na nowe serwery, więc FireEye współpracuje z lokalnymi dostawcami zapewniającymi dostęp do Internetu w Rosji, aby im to uniemożliwić. Stwierdził, że 20 tys. komputerów nadal pozostaje w botnecie, ale pozbawione serwerów komend i kontroli są dla właścicieli Grum bezwartościowe.

Zdaniem ekspertów bezpieczeństwa poza serwerami komend I kontroli należącymi do lokalnych hackerów, na Ukrainie i w Rosji zaczęły powstawać także serwery komend i kontroli podporządkowane międzynarodowym gangom hackerskim utrzymującym wielkie botnety, wyspecjalizowane w kradzieży danych I atakach DDOS. Uznały one bowiem te kraje za bezpieczne porty. Akcje firm zajmujących się bezpieczeństwem w sieci mają utrudnić im działanie także w tych krajach.

spam, botnet, grum
PAP
Czytaj także
Polecane galerie