Έχει ξεκινήσει μια αναζήτηση για το πρώτο θύμα του Conficker

Graphic: Diego AguirreWhere έκανε το Έρχεται ο σκουλήκι Conficker; Οι ερευνητές του Πανεπιστημίου του Μίτσιγκαν προσπαθούν να ανακαλύψουν, χρησιμοποιώντας ένα τεράστιο δίκτυο αισθητήρων του Διαδικτύου, για να εντοπίσουν το λεγόμενο «μηδενικό ασθενή» μιας εστίας που έχει μολύνει μέχρι σήμερα περισσότερα από 10 εκατομμύρια υπολογιστές. (Το πώς να προστατεύσετε τον εαυτό σας.)

Το πανεπιστήμιο χρησιμοποιεί λεγόμενους αισθητήρες σκοτεινού δικτύου που δημιουργήθηκαν πριν από έξι χρόνια για να παρακολουθήσουν κακόβουλη δραστηριότητα. Με την χρηματοδότηση από το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ, οι επιστήμονες υπολογιστών συσπειρώθηκαν μαζί για να μοιραστούν τα δεδομένα που συλλέχθηκαν από τους αισθητήρες γύρω από τους αισθητήρες παγκόσμιου τόπου σε όλο τον κόσμο.

«Ο στόχος είναι να φτάσουμε αρκετά κοντά, ώστε να μπορέσετε να αρχίσετε να χαρτογραφείτε πώς "δήλωσε ο Jon Oberheide, πτυχιούχος φοιτητής στο Πανεπιστήμιο του Μίσιγκαν, ο οποίος εργάζεται στο έργο.

Αυτή είναι μια εύκολη δουλειά. Για να εντοπίσετε τις μικροσκοπικές ενδείξεις που θα προσδιορίσουν το θύμα, οι ερευνητές θα πρέπει να κοσκινίσουν περισσότερα από 50 terabytes δεδομένων, ελπίζοντας να βρουν τις προειδοποιητικές υπογραφές μιας σάρωσης Conficker.

Ένας από τους τρόπους με τους οποίους κινείται το Conficker είναι η σάρωση του δικτύου άλλους ευάλωτους υπολογιστές, αλλά μπορεί να είναι δύσκολο να το εντοπίσουμε με βεβαιότητα, είπε ο Oberheide. "Το σκληρό πράγμα είναι να βρούμε την ακριβή δραστηριότητα σάρωσης Conficker, επειδή υπάρχουν πολλά άλλα σκαριά που συμβαίνουν", είπε.

Εντούτοις, η παρακολούθηση του μηδενικού ασθενούς έγινε. Το 2005, οι ερευνητές παρακολούθησαν το πρώτο θύμα του Witty Worm του 2004 (pdf), μια αμερικανική στρατιωτική βάση, και μάλιστα αναγνώρισαν την ευρωπαϊκή διεύθυνση IP που χρησιμοποιήθηκε για να ξεκινήσει την επίθεση.

Έχουν περάσει πολλά χρόνια από τότε που εμφανίστηκε κάτι τόσο ευρύ όπως το Conficker δεν έχουν υπάρξει πολλές πιθανότητες να αναπαράγουν αυτή την προσπάθεια.

Όταν η Conficker εμφανίστηκε για πρώτη φορά τον Οκτώβριο, όμως, οι ερευνητές έκαναν ένα διάλειμμα. Άλλοι σκουλήκια είχαν αποφύγει αυτό το είδος ανάλυσης, εμποδίζοντας τις διευθύνσεις IP darknet, αλλά οι συγγραφείς της Conficker δεν το έκαναν αυτό. "Είμαστε κάπως έκπληκτοι που έκανε αυτό το εντελώς τυχαίο σάρωση, και δεν μαύρη λίστα μας ειδικούς αισθητήρες", δήλωσε ο Oberheide. "Εάν είχαν κάνει κάποια έρευνα, θα μπορούσαν να έχουν ανακαλύψει το δίκτυο μας."

Λίγο μετά την επιδημία Conficker, οι ερευνητές του Michigan είδαν μια μεγάλη αιχμή στους αισθητήρες τους, τους οποίους απέδωσαν στο σκουλήκι. Το δίκτυο συγκέντρωνε περίπου 2G δεδομένων ανά ώρα το Νοέμβριο, αλλά αυτές τις μέρες είναι πιο κοντά στο 8G. "Η αύξηση της δραστηριότητας που έχουμε δει σε αυτούς τους αισθητήρες Darknet είναι … απίστευτη", δήλωσε ο Oberheide. "Τώρα αυτά τα δεδομένα είναι πραγματικά χρήσιμα, μπορούμε να επιστρέψουμε έξι μήνες και να δούμε τι ακριβώς κάνει αυτό το σκουλήκι", πρόσθεσε.

Μια άλλη ομάδα, που ονομάζεται CAIDA (η Συνεταιριστική Ένωση για την Ανάλυση Δεδομένων Διαδικτύου) δημοσίευσε την ανάλυση Conficker νωρίτερα αυτό το μήνα. Οι ερευνητές του Μίτσιγκαν ελπίζουν να δημοσιεύσουν μια παρόμοια ανάλυση των δεδομένων τους με τις επόμενες εβδομάδες, αλλά θα μπορούσαν να είναι μήνες πριν περιορίσουν τα πράγματα στο μηδέν.