McColo-Srizbi spämmiva botneti tagasitulek

Erich Ravell, 27, november 2008

Ülisuur McColo spämmibotnet, mille arvele langes parimatel hetkedel 50-75% ülemaailmsest spämmihulgast ja mis suleti juba kaks nädalat tagasi, tõusis üleeile varjusurmast.

FireEye Inc andmetel võtsid pahavaraga (Srizbi Trojan: Troj/RKAgen-A, Srizbi Rootkit:W32/Agent.EA jt) nakatunud arvutid ühendust Eestis asuvate Srizbi botneti kontrollserveritega, et teha nakatatud Windowsi-põhistes arvutites pahavaralisi versiooniuuendusi. Pahavara versiooniuuendus oli nakatatud arvutites eluliselt tähtis just sellepärast, et Srizbi botneti uued omanikud saaksid üle võtta “surnud” McColo-Srizbi botneti kontrollserverite tsentraalhalduse.

Huvitav ja (ebameeldivalt) üllatav on antud juhtumi puhul see, et paarisaja Srizbi botneti uute domeeninimede hulgas olid ka Eestis asuvate kontrollserverite IP aadressid.

Millised olid Eestis asuvate Srizbi botneti kontrollserverite IP aadressid ja domeeninimed?
FireEye Inc. andmetel olid need järgmised:

Domeeni nimi: prpoqpsy.com
IP aadress: 92.62.100.4

Domeeni nimi: gffsfpey.com
IP aadress: 92.62.100.9

Domeeni nimi: oryitugf.com
IP aadress: 92.62.100.12

Domeeni nimi: ypouaypu.com
IP aadress: 92.62.100.13

Tänu Eesti asjaomaste institutsioonide operatiivsele tegutsemisele pole antud hetkel need IP aadressid enam Internetis pingitavad ega anna nimelahendusi.

Tasub märkida, et kõik ülalmainitud domeeninimed on registreeritud kellegi kodanik Ulugbek Asatopov`i nimele, kelle kontaktiks on  Türgis Ankaras asuv aadress ja e-postiks mail.ru konto. Nende domeenide nimeserverid (ns.tsr.ru, ns4.tsr.ru) aga asuvad Venemaal  ning kuuluvad omakorda Moskvas asuvale firmale STC TeleCom Service JSC (TeleCom Service).

Kuid ülalmainitud domeenide IP aadressid seevastu kuuluvad hoopis Eestis asuvale infotehnoloogiafirmale Starline Web Services, mis pakub e-äri, veebidisaini ja virtuaalserverite teenuseid.

Nüüdsel it-ajastul võiksime õigustatult enda käest küsida, kuidas on ikka võimalik, et Internetist mahavõetud ülimassiivne rahvusvahelise haardega  botnet suudetakse lühikese ajaga uuesti püsti ajada ning seda läbi sadade tuhandete nakatatud arvutite tarkvaraliselt uuesti värskendada, taastades seeläbi uue kontrollserverite keskhalduse?

Istume siin kodu- ja tööarvutite taga ning saame oma e-postkasti jätkuvalt suurtes kogustes spämmi. Ja juhul kui me seda spämmi otseselt ei saa, siis ikkagi kurdame aeglase internetiühenduse üle. Mis tuleneb sellest, et seesama “pikendustega” spämm koormab ja tekitab pudelikaelu meie arvutivõrkudes, ruuterites, tulemüürides ja spämmifiltrites.

Internetis on liikvel uudiseid, mis väidavad et Eestis asuvate botnet kontrollserveritega võttis ühendust ligikaudu 100 000 nakatunud arvutit. Srizbi botneti kuulub üle 300 000 nakatunud arvuti. Paraku ei näita nakatunud arvutite statistika internetis mitte kahanemistendentsi.

This entry was posted on Neljapäev, november 27th, 2008 at 17:32 and is filed under Pahalased, Rämpspost. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

17 kommentaari to “McColo-Srizbi spämmiva botneti tagasitulek”

  • Postitatud: november 27th, 2008 20:40

    Peeter Marvet

    Küsid kuidas… Ma olen aru saanud, et vähemalt Eesti ametlik poliitika on selliseid juhtumeid mitte uurida, andmeid mitte analüüsida – ning kui keegi julgeb nendele asjadele valgust heita (saati siis WP/Krebsi kombel suure tuututamisega kinnipanemist põhjustada) siis on tegemist mõistagi ketseriga.

    LOOMULIKULT on lihtne taastada, kui tegevus on keskendunud põhimõttele “ärme neid parem torgi, sest muidu nad võtavad veel keerulisemad nipid kasutusele”. Ja LOOMULIKULT on meil kohane üllatuda, kui seda teevadki. Ainus LOOMULIK lahendus on, et ärme siis rohkem torgi 🙂

  • Postitatud: november 27th, 2008 21:13

    Aare Kirna

    Pets, äran’d ole nii torm 🙂
    Minu teada oli ikkagi Eesti CERT kohalike kontrollserverite kinnipaneku taganttõukaja.
    Loe siit lähemalt.

  • Postitatud: november 27th, 2008 22:48

    Peeter Marvet

    Viidatud artiklist jääb mulle mulje, et CERTee on tolle pisi-ISP upstreamis olevast pisiISPist Compic’ist varemgi kuulnud. Või saan ma jälle millestki valesti aru? Kas nad on kellegi kaitse all (Compic, mitte CERT :-)? Minu äärmiselt amatöörlikud otsingud pakuvad muideks AS39823 alla ka ühe huvitava alternatiiv-rahandusorganisatsiooni asukoha… Mis me nendest seostest peavoolumeediale oskame ette sööta?

    Või on Compici marineerimine osa pikemast patsiga politseinike operatsioonist mille me nüüd päris ära rikkusime?

  • Postitatud: november 27th, 2008 23:58

    Aare Kirna

    CERT-il ei ole minu teada politseifunktsioone, nad saavad ainult peale käratada. Kuivõrd Compic, nagu ma aru saan, pealekäratamisele ka reageeris, ei ole vist otsest põhjust neile päris politseid kraesse saata.

  • Postitatud: november 28th, 2008 0:11

    Peeter Marvet

    noh kui see oli neile esimene kord huviorbiiti sattuda siis loomulikult on minust liiga tormikas mingeid kaugemaid järeldusi teha…

  • Postitatud: november 28th, 2008 14:34

    m.s.vaikne

    http://www.all-nettools.com/forum/showthread.php?t=2441
    Vahest ikka lekib botnet tegemise õpetusi.. Konkreetsel lehel on eemaldatud c++ source koodi lingid.

    Seega ussisugu levib. Kaitse on ainult, et igaüks olgu kindel, et mis lehte külastab ning mis programmi paigaldab.

    Ehk ongi küberkaitse keskust vaja..

    Seega kasutan os-i mis on teadagi mitte w****.

    Kusjuures sellel kodukal on viide, et kuidas botnetprogrammi viirusetõrje eest varjata ja kindlalt windowsi c++.

  • Postitatud: november 28th, 2008 16:03

    hillarp

    Pets, neid asju uuritakse ja analüüsitakse. Keskmise kasutajani jõuab see info lõpuks Assapauk stiilis kampaaniatena 🙂 Mitte niiväga keskmine kasutaja võiks lahmimise asemel aga CERT käest otse küsida (nende inimeste e-posti aadressid ja telefonid on avalikud).

    Muide, hetkel väidab Yahoo tech, et asi on jälle maha võetud.

  • Postitatud: november 29th, 2008 0:07

    Peeter Marvet

    hillarp – ega seda ei saa nüüd kah nii kindlalt väita, et ma küsinud poleks (ja võta nüüd kinni, kas lahmimisena tunduv tuleneb sellest et ma sain vastuse või sellest, et mitte). aga ma luban pühalikult olla tulevikus keskmisem, siis saab minuga rahulikult plakatite abil kommunikeerida 🙂

  • Postitatud: november 29th, 2008 3:23

    netsnake

    Pets, ole ja jää ikka mitte nii väga keskmiseks kasutajaks. Rahvale jääb siis rohkem sinu poolt pakutud infot kätte 😉

    ‘hillarp’ lingilt pakutud hea lõik:
    “…Linxtelecom said in the e-mail that 99 percent of the complaints that it receives over abuse are related to Compic, Randel said…”

  • Postitatud: november 29th, 2008 20:45

    hillarp

    Pets, ma ei väida mitte midagi, kuid… Eile, vahetult enne eelmise kommentaari kirjutamist, suhtlesin ma sellest seltskonnast ühe inimesega. Tema väide oli, et eesti ajakirjandus ei tunne nende tegemiste vastu mingit huvi ja pressitibinat neil ei ole ning seetõttu saabki sellest lugeda ainult välismaise ajakirjanduse vahendusel. Seetõttu arvan, et Sa ei küsinud. Samas ma muidugi ei tea, kas Tehnokratt kvalifitseerub ajakirjanduseks või mitte 🙂

    Muide, ma tegin Sulle juba ammu ettepaneku – võta Aarelaid (või keegi teine sellest seltskonnast) ning räägi, miks see kampaania just selline sai. Usun, et saad väga palju ja väga huvitavat infot asja tausta ning muidugi ka üldise olukorra kohta eesti e-riigis.

  • Postitatud: november 30th, 2008 0:33

    Peeter Marvet

    hillarp – Konkreetselt seekordse juhtumi kohta pole tõesti ka mina küsinud, aga ei üle- ega alakeskmise kasutajana suuda ma Aare viidatud artiklist lugeda välja midagi mis kannataks formuleerimist kui “Compic, nagu ma aru saan, pealekäratamisele ka reageeris, ei ole vist otsest põhjust neile päris politseid kraesse saata”. Viidat loos on muideks kirjas “Randel said CERT has “constantly” notified Compic about malware they’ve hosted.” Ning mulle meenub, et olen kunagi CERTis sattund vaidlema teemal kas siinviidatud pidev probleemiallikas peab saama tugevamat tähelepanu kui konstantne notifitseerimine või mitte.

    Tehnokratt tõenäoliselt ajakirjanduseks ei kvalifitseeru – muuhulgas üritan ma kajastatavast vähemalt mingil määral aru saada ning isiklikult veenduda mingite väidete aluseks oleva info olemasolus ja tõepärasuses. Paraku puudub CERTil lisaks “pressitibinale” ka mistahes info mis oleks kättesaadav väljaspool sisepiiri – ja sisepiiri infole olen ma mõistagi ligipääsu palunud ja mitte saanud.

    Kampaaniatest olen ma kah rääkinud. Pika jutu lühikese kokkuvõttena oli rekord.id kampaania idee teadjate poolelt “tuleks luua miski sündmus mis meediasse jõuaks ja paneks kasutama” ning assapaugul “ega miski peale hirmutamise aita”. Kui ma küsisin mõlema kampaania konkreetsete probleemide kohta siis väitsid teadjad, et ega kampaania nendega peale algse idee teadasaamist rohkem ei suheldki.

    Ja mul on aastalõpu plaanis (sest selle tärminiga Tehnokratt lõpetab koos muude minu heategevate projektidega) üks saade kus see teema üles võtta, tõsi veidi laiema paneeliga kui pelgalt CERT. Aga ma ei ole üldse kindel kas mul õnnestub mind huvitavad inimesed kokku saada (nagu Aare ülal õieti mainib jääb suur hulk probleemi lahendamist väljapoole Aarelaiu käeulatust ning mind väga huvitab mida need teised siis maksumaksja raha eest sügavad).

  • Postitatud: november 30th, 2008 13:01

    Kaur

    Millega siis eesti cert tegelikult võitleb.

    http://no.spam.ee/~tonu/phpshell/

  • Postitatud: november 30th, 2008 18:13

    hillarp

    Pets, see, et Tehnokratt lõpetab, on igatahes väga sant uudis 🙁 Minu arvates on see ainuke saade, mis on mõeldud “üle-keskmise” kasutaja jaoks. Kuna mul puudub taustainfo, siis ma pole pädev seda otsust ei kritiseerima ega ka heaks kiitma aga äkki õnnestub Sind kuidagi ümber veenda? 🙂

    See, et CERT pole eriti aldis siseinfot jagama, on omad põhjused. Ütleme nii – teatavat laadi info avalikustamine annab mõningaid tegevusjuhiseid neile, kelle kohta see info käib. Sa võid seda pidada paranoiaks või mõttetuks luuremänguks, kuid nii see on. MIna isiklikult igatahes usaldan seda infot, mida ma sealt saan ja ilma igasugust lisa- või siseinfot küsimata ja senine kogemus näitab, et neilt saadud informatsioon on alati õigeks osutunud.

    See, et eesti e-riigi olukord on pehmelt öeldes sant, on minu arvates hoopis laiem probleem ning saab tegelikult alguse poliitikutest/poliitikast. Minu hinnangul puudub Eestil tegelikult e-riigi poliitika, mida näitab kasvõi see, et erinevad IKT-d käsitlevad seadused pole omavahel kooskõlas. Sellest tuleneb ka see, et eri ametkondade vastutusala pole täpselt määratletud, samuti tuleneb sellest, et ametkonnad ei oska/suuda omavahel koostööd teha. Võibolla oleks vajalik, et MKM tagasi kaheks eraldiseisvaks ministeeriumiks jagataks.

  • Postitatud: detsember 1st, 2008 10:49

    Peeter Marvet

    @kaur – igasuguste häkkimisriistade (aga eriti iseenda parooli) omamine on meil hetkel KarS§216’1 kohaselt karistatav. tegelt peaks aega leidma ja selle veidi ära siluma, justmin’i omad on isegi põmt nõusoleku andnud… peaks leidma sõnastuse mis maandaks “saksa häkkeriparagrahviga” seonduvad meediariskid

    @hillarp – küsimus pole niivõrd infi kvaliteedis kui selle kättesaadavuses ning sellele reageerimises; mulle meeldib (teadagi) vaadata asju rohkem tehnopoliitilise nurga alt ja avaliku teabe puudumine tekitab ülemistel tasemetel kohati väga imelikke arusaamu … ning mingite teiste organisatsioonide alamates kihtides võimalust tegeleda oma naba imetlemise ja eneseõigustusprotsessidega; (sorry see veidi segane üldistus, aga kuna keegi millestki midagi avalikult ei räägi ei tea ka mina kunagi millest ma võiksin rääkida ja millest rääkimise peale mulle tulevikus veel vähem räägitakse – niikuinii lobisen liiga palju ja olen kõigile tüliks…)

  • Postitatud: detsember 5th, 2008 17:29

    Arvutikaitse » Blog Archive » Pushdo/Cutwail ja Bobax/Kraken botnetvõrgustikud

    […] botnetvõrgustikud Srizbi ja Rustock. Mõlemad spämmivad botnetid kuulusid USA veebihostingufirma McColo võrku. Internetis on aktiivsed veel üksikud mahukad botnetvõrgustikud – Pushdo/Cutwail (nt. […]

  • Postitatud: detsember 10th, 2008 21:35

    Silver Meikar | Eesti esimene poliitiku ajaveeb » Eesti püstitas rekordi maailma suurima spämmija kiusamisel

    […] http://www.networkworld.com/news/2008/112708-estonian-isp-cuts-off-control.html http://www.arvutikaitse.ee/?p=1191 […]

  • Postitatud: detsember 10th, 2008 21:36

    Silver Meikar

    Leidsin täiesti juhuslikult terve rea välismaiseid artikleid antud teemal, kuid Eestis jõudis see vaid paarile mitte-mainstream saidile (minut.ee, arvutikaitse.ee, tarbija24.ee jm). Päevaleht ja Postimees ei kajastanud teemat üldse.

    Niikaua, kuni Eesti ajakirjandus ei pööra tähelepanu isegi sellisele e-kuritegevust puudutavale uudisele, ei tunneta ka kodanikud, ametnikud ja ettevõtted vajadust tugevamalt tegeleda e-turvalisusega. Mäletan, et päev pärast US presidendivalimisi ei ilutsenud ühe Eesti juhtiva päevalehe esikaanel mitte Obama, vaid keegi Liis Haavel, keda vist lubati (või siis ei lubatud) kautsjoni vastu vabadusse. Pole siis ime, et on-line meedias on kuumadeks teemadeks peamiselt „libe jää” ja „mini-seelik”.

    Pikemalt kirjutasin samal teemal ajaveebis: http://www.meikar.ee/blog/?p=950

Kommenteeri

NB! Kommentaarid, mille tekstis on rohkem kui üks URL, tuleb toimetajal spämmifiltrist käsitsi ära päästa.

Läbu ja ropendamine kustutatakse!

Arvutikaitse Facebookis

Loe lisa: https://www.facebook.com/Arvutikaitse

Arvutikaitse toetajad

Viimased kommentaarid:

Nuhkvaratõrjujad

Online-tõrjujad

Tasuta tõrjujad

Viited

Rubriigid

Arhiiv

RSS Graham Cluley

RSS Bleeping Computer

RSS The Hacker News

RSS HackRead

Arvutikaitse is proudly powered by WordPress