13:16
14/11/2011

Niedawno FBI zakończono operację “Ghost Click“. Trwała kilka lat. Zatrzymano 6 mężczyzn (wiek od 26- 33 lat), którzy podmieniali na zainfekowanych komputerach reklamy i zarobili na tym procederze 14 milionów dolarów.

Podmiana DNS-ów (DNS Changer)

Estońska szajka infekowała komputery złośliwym oprogramowaniem, który podmieniał DNS-y. Wszystkie requesty idące do oryginalnych serwerów reklam były przekierowywane na serwery Estończyków związanych z firmą Esthost.

DNS Changer używany przez przestępców zazwyczaj udawał kodek wideo — trzeba było go pobrać, aby obejrzeć film pornograficzny. DNS Changer był w stanie infekować nie tylko Windows, ale również Apple Mac OS X. (FBI radzi jak usunąć DNS Changera ze swojego systemu)

Jak złapano przestępców?

W 2009 Trend Micro poddało analizie dyski twarde pochodzące z zajętych przez organy ścigania serwerów, na które kierowane były żądania DNS z zainfekowanych maszyn. Na dyskach znaleziono klucze firmy Rove Digital (dzięki nim pracownicy tej firmy łączyli się z serwerami bez hasła). Jak się później okazało, grupa była także odpowiedzialna za infekowanie komputerów fałszywymi antywirusami (i pobieranie opłat za leczenie z wyimaginowanych wirusów).

Big Botnets

Porównanie ubitych botnetów

Ciekawostka

Co ciekawe, zdecydowano się na niewyłączanie fałszywych serwerów DNS. Dlaczego? Wyobrażacie sobie 4 miliony zainfekowanych komputerów, które nagle “tracą dostęp do internetu” i co gorsza masowo dzwonią na help-line? Fałszywe serwery zastąpiono działającymi poprawnie.

Przeczytaj także:

8 komentarzy

Dodaj komentarz
  1. Gdybym ja miał robić coś takiego, to raczej wiązałbym swoich serwerów z jakąkolwiek firmą. A maszynę umieścił najlepiej w Chinach – ale możliwe że tak właśnie zrobili.
    Nie wiem czym są klucze do logowania (chyba nie zwykłe ssh_key), ale lenistwo nie popłaca :-)
    Swoją drogą: kilka lat pracy FBI (strzelam: ~5mln USD), wykryte nadużycia na 14mln USD, zatrzymano sześciu podejrzanych. Niezły bilans…

    • Cyberprzestepcy w pewnym momencie czuja sie na tyle pewnie, ze nie mysla o takich rzeczach jak ulokowanie maszyn w Chinach czy innym trudno dostepnym dla sluzb rejonie ;)

  2. Co zlego by bylo w ubiciu tych DNS? Podejzewam, ze dotknieci tym uzytkownicy maja w systemie nieco wiecej malware, wiec wizyta serwisanta i tak by sie przydala, byc moze drastycznie zmniejszajac wielkosc innych botnetow.

    • 4 miliony zainfekowanych komputerów to dla FBI łakomy kąsek. Teraz ageci mają możliwość monitorowania ruchu z tych komputerów oraz zapewne łatwe przejęcie kontroli nad nimi w tylko im wiadomym celu.

  3. Faktycznie, powinni wyłączyć te serwery – lepiej zapobiegać niż leczyć – może trochę świadomość by się zwiększyła. Albo jeśli nie chcieli brutalnie zostawiać ludzi bez pomocy – przekierować ich na stronę z krótkim komunikatem, lecz tu obawiam się, że jakiś prawnik mógłby wylecieć, że wtedy policja popełnia przestępstwo…

  4. Tez mam chyba tego wirusa, wszedzie widze reklamy ikei.

    • Wirtualna Polska?

  5. Ciekawy kraj ta Estonia – wydaje swoich obywateli innemu krajowi?!

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: