Zabić Bredolaba

Data publikacji: 05/11/2010, CERT Polska

Bredolab takedownBotnet Bredolab według niektórych oszacowań składał się z ponad 30 mln zainfekowanych maszyn. W trakcie śledztwa prowadzonego w minionych tygodniach zidentyfikowano 143 serwery związane z botnetem. Jednostka Dutch National High Tech Crime Team, holenderskie służby zajmujące się przestępstwami komputerowymi, 25 października podjęły działania mające na celu zniszczenie botnetu. W akcji brały udział też między innymi GovCERT.NL i firma Fox-IT. Rozpoczęto odłączanie kolejnych serwerów Command-and-Control od sieci Internet. Narodowa policja w Holandii w trakcie śledztwa starała się namierzyć podejrzanych o kierowanie botnetem. Głównego podejrzanego, 27-letniego Ormianina, namierzono w Rosji. Aresztowano go na lotnisku Zvartnots w Erywaniu w Armenii.

Większość serwerów C&C znajdowała się w sieci firmy Leaseweb, która dostarcza dostęp do usług sieciowych. Oficer bezpieczeństwa w Leaseweb, Alex de Joode, powiedział, że firma nie otrzymała żadnych komunikatów ani skarg dotyczących botnetu. O jego istnieniu poinformowała grupa anonimowych badaczy. Policja poprosiła firmę Leaseweb o tymczasowe nieodłączanie serwerów, aby umożliwić przeprowadzenie śledztwa. W trakcie odłączania serwerów C&C botmaster kilka razy próbował, bezskutecznie, odzyskać kontrolę nad botami. Na koniec wymierzył w sieć Leaseweb atak DDoS za pomocą 220.000 maszyn.

Niszczenie Bredolaba jest kolejną tego typu próbą zniszczenia infrastruktury botnetu – po odcięciu od sieci firmy McColo, której efektem było zabicie botnetu Srizbi, operacji b49, w wyniku której uszkodzono poważnie botnet Waledac, aresztowaniach w związku z botnetem Zeus i innych. Najbliższe dni pokażą, czy się ona powiodła. Podobne próby kończyły się już niepowodzeniem (np. odrodzenie Mega-D i Asprox). Już następnego dnia po ogłoszeniu przez holenderskie władze śmierci Bredolaba, analitycy z firmy Symantec poinformowali o rozprowadzaniu nowej treści przez ten botnet. Zaobserwowali również 750 nowych spamerskich wiadomości, które wiążą z Bredolabem.

Czy Bredolab został zniszczony? Odpowiedź na to pytanie brzmi: „Nie wiadomo.”. Aby to stwierdzić, należy poczekać na informacje firm security dotyczące aktywności Bredolaba. Zainfekowane maszyny dalej spełniają funkcje botów, zostały pozbawione jedynie ośrodka dowodzenia. Aby zwiększyć prawdopodobieństwo powodzenia akcji, współpracujące instytucje postąpiły w sposób bezprecedensowy. Wykorzystano istniejącą infrastrukturę botnetu do poinformowania użytkowników o infekcji ich komputerów i zaproponowania działań mających na celu dezynfekcję.