Botnet Grum je mrtev  
Jeden z nejvýznamnějších botnetů světové sítě byl po epickém boji definitivně vypnut. Kdy se vynoří další veliká virtuální příšera?

 

 

 
Grum je mrtev. Kredit: Damon Poeter, PC Mag.

Botnety jsou virtuální monstra, která jako by přišla z kyberpunkového snu, ale jejich spáry dovedou způsobit velmi reálné rány. Termín botnet vlastně označuje jakékoliv autonomní internetové roboty, v dnešní době se ale nejčastěji spojuje se zlými programy, které infikují nic netušící počítače, proměňují je ve slepě poslušné zombie a pak z nich vytvářejí morbidní síť botnetu.

 

Zvětšit obrázek
Schéma botnetu. Kredit: Tom-b, Wikimedia Commons.


Čím větší je stádo zombií botnetu, tím větší prestiž si jeho tvůrci, čili pasáci (bot herders) získají a tím větší může být i jejich finanční zisk. Na dálku řízené botnety pak totiž lze pronajmout k rozesílání spamu, internetové špionáži anebo třeba k nemilosrdným útokům typu DDoS (Denial of Service), tedy k přehlcení napadených webových stránek požadavky a jejich následné vyřazení z provozu. Jsou to jednoduché počty, více zombií rozešle více spamu anebo rozpoutá intenzivnější DDoS útok. Botnetů je dnes ve světové síti celá řada, všech možných typů a velikostí. Jejich řádění nás zasahuje každý den, minimálně v podobě otravného spamu.


Jedním z nejvýznamnější botnetů poslední doby byl až do teď botnet Grum, známý též jako Tedroo, který se podle všeho věnoval hlavně rozesílání farmaceutického spamu. Poprvé byl vystopován v roce 2008 a v roce 2010 se stal největším a tudíž nejsilnějším botnetem na Zemi. Odborníci odhadují, že jeho rootkit Grum, tedy software, které maskuje přítomnost dalších zlých programů a procedur v infikovaném zombie počítači, tehdy ovládl možná takřka milión počítačů. S tak velkou armádou zombií se mu v březnu 2010 povedlo odeslat skoro 40 miliard spamů, jednu čtvrtinu globálního objemu spamu té doby.


 

Zvětšit obrázek
Lov na botnet není procházka růžovým sadem. Kredit: SandiaLabs / Flickr (CC).

Internetové botnety jsou jako virtuální draci dneška, ovšem s nespočtem hlav. Novodobí rytíři z internetových bezpečnostních společností s nimi mají mnohem větší práci, než klasický bojovník s drakem. Tomu stačilo utnout jednu, tři, devět, v extrémním případě až sto hlav a bylo vymalováno. Botneti jsou spíš jako mýtická devítihlavá Hydra z Lerny, které po odseknutí hlavy velmi neférově narostly dvě nové, jedna z devíti hlav byla dokonce nesmrtelná a ještě ke všemu měla zákeřného pomocníka, velikého raka s ostrými klepety. Jak ale praví řecká mytologie, i tak si s Hydrou Diův syn Héráklés nakonec poradil. Stejně tak nakonec padl i mazaný a odolný botnet Grum. Společnými silami se na tom podíleli lidé z kalifornské bezpečnostní společnosti s bohatými zkušenosti v boji proti botnetům FireEye, mezinárodní antispamové organizace Spamhaus Project a ruského týmu expertů CERT-GIB.

 

Zvětšit obrázek
Dnes u to není tak snadné. Kredit: Rogier van der Weyden, Wikimedia Commons.


Atifa Mushtaq z FireEye před pár dny oznámil médiím, že všechny známé řídící servery botnetu Grum jsou mrtvé a jejich zombie, i když malá část z nich ještě vykonává otrocké práce botnetu, zřejmě definitivně osiřely. Odborníci nejprve analyzovali strukturu botnetu a zveřejnili jeho klíčové servery v Nizozemsku, Panamě a Rusku. Vzápětí se jim ve spolupráci s jednotlivými státy podařilo zabít první dva z nich. Pasáci botnetu Grum zareagovali vytvořením šesti nových řídících serverů na Ukrajině, po intenzivním úderu FireEye, Spamhausu, CERT-GIB a jednoho anonymního výzkumníka ale byly všechny zbývající řídící servery botnetu Grum k 18. červenci 2012 odhalené a mrtvé. Vítězní válečníci tvrdí, že pasáci botnetu neučinili žádné další odvetné akce a že samotný Grum podle všeho neměl žádné zjevné záložní mechanismy, které by mu umožnily vrátit se rychle zpátky do hry. Poražená příšera tedy alespoň nějaký čas zůstane ve virtuální říši mrtvých. Internet si alespoň trochu svobodně vydechne, ve chvílích před svým skonem totiž Grum rozesílal kolem 18 procent veškerého spamu světa.

 

Prameny:

PC Mag 18.7. 2012, AFP 19.7. 2012, Wikipedia (Botnet, Grum botnet, FireEye).


 

Autor: Stanislav Mihulka
Datum: 20.07.2012 14:27
Tisk článku

Atlas zemí, které neexistují - Middleton Nick
Knihy.ABZ.cz
 
 
cena původní: 548 Kč
cena: 487 Kč
Atlas zemí, které neexistují
Middleton Nick
Související články:

Moře informací prudce stoupá     Autor: Dagmar Gregorová (15.02.2011)



Diskuze:

reverse engineering

Laoce Bystrla,2012-07-20 22:02:46

hlavne je ze prisli na to ako komunikuju zombies s riadiacimi servrami tzn uz vedia velmi jednoducho odfiltrovat na velkych uzloch ci cez ne takato komunikacia netecie a ak ano hned vedia ze dalsi server je aktivny a este predtym ako naberie na sile (prihlasi sa k nemu dost zombies) ho odstrihnu. preto musia "pasaci" vytvorit novy protokol a updatovat zombies na vyssiu verziu... a zase reverse engineering stopnutia riadiacich servrov atak dookola kym budu tupi uzivatelia....

Odpovědět

To většinou nejde tak snadno

Vojtěch Kocián,2012-07-20 20:41:22

Infikované počítače (zombie) vědí, na jaké IP adrese jsou jejich "vládci" (servery). Jich se ptá na aktualizace (třeba pokyny k DDoS útoku nebo seznamy nových serverů). Jelikož se seznam zombies rychle mění, je jejich aktuální seznam serveru užitečný, ale jejich logování už ne (nehledě na to, že mohou být schované tak, že server na ně aktivně nevidí a zombies většinou aktivně neposlouchají).

Jde tedy postavit nový Grum, ale musí se začít znovu s budováním armády zombies a to chce jednak čas a také o tom nesmí vědět protivníci, protože zarazit botnet v zárodku je snazší než když je rozšířen všude možně. Spíš se vynoří nějaký jiný.

Odpovědět


Pardon, to měla být odpověď panu Hluskovi...

Vojtěch Kocián,2012-07-20 20:42:45

Odpovědět

Princip bootnetů

Petr Foldyna,2012-07-20 16:05:41

Princip bootnetů je většinou takový, že se pravidelně připojují k serverům a stahují si instrukce (včetně seznamu nových serverů). Bootnet se "jednoduše" vyřadí tak, že zamezíte jeho majitelům na všech registrovaných IP adresách/DNS záznamech, které mají klienti v konfiguraci provozovat server.

Odpovědět

a co brání majitelům

Tomáš Hluska,2012-07-20 15:18:17

vytvořit nové servery? Však počítače jsou pořád infikované, tak by stačilo jen, aby získali nového vládce, ne?

Odpovědět




Pro přispívání do diskuze musíte být přihlášeni