Με παγκόσμια προσπάθεια, ένας νέος τύπος σκουληκιού έχει επιβραδυνθεί

Έχουν υπάρξει μεγάλα σκουλήκια υπολογιστών πριν, αλλά τίποτα δεν μοιάζει αρκετά με το Conficker.

Καταρχήν εντοπίστηκε το Νοέμβριο, ο ιός τύπου worm είχε μολυνθεί σύντομα από περισσότερους υπολογιστές από οποιοδήποτε σκουλήκι τα τελευταία χρόνια. Με ορισμένες εκτιμήσεις εγκαθίσταται τώρα σε περισσότερα από 10 εκατομμύρια υπολογιστές. Αλλά από την πρώτη του εμφάνιση, ήταν παράξενα ήσυχο. Το Conficker μολύνει τους υπολογιστές και εξαπλώνεται γύρω από τα δίκτυα, αλλά δεν κάνει τίποτα άλλο. Θα μπορούσε να χρησιμοποιηθεί για να ξεκινήσει ένα τεράστιο cyberattack, να καταστρέψει σχεδόν οποιοδήποτε διακομιστή στο Διαδίκτυο, ή θα μπορούσε να εκμισθωθεί σε spammers προκειμένου να αντλήσει δισεκατομμύρια από δισεκατομμύρια μηνύματα spam. Αντ 'αυτού, κάθεται εκεί, μια τεράστια μηχανή καταστροφής που περιμένει κάποιον να γυρίσει το κλειδί.

Μέχρι πρόσφατα, πολλοί ερευνητές της ασφάλειας απλά δεν ήξεραν τι περιμένει το δίκτυο Conficker. Την Πέμπτη, όμως, ένας διεθνής συνασπισμός αποκάλυψε ότι είχαν λάβει πρωτοφανή μέτρα για να διατηρήσουν το σκουλήκι ξεχωριστό από τους διακομιστές εντολών και ελέγχου που θα μπορούσαν να το ελέγξουν. Η ομάδα αποτελείται από ερευνητές ασφαλείας, εταιρείες τεχνολογίας, καταχωρητές ονομάτων τομέα που έχουν ενώσει τις δυνάμεις τους με την Ιnternet Corporation for Assigned Names and Numbers (ICANN), η οποία εποπτεύει το Σύστημα Ονομάτων Χώρου του Διαδικτύου.

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε κακόβουλα προγράμματα από τον υπολογιστή σας των Windows]

Οι ερευνητές είχαν ξεπεράσει τον κώδικα του Conficker και ανακάλυψαν ότι χρησιμοποιεί μια δύσκολη νέα τεχνική για να τηλεφωνήσει στο σπίτι για νέες οδηγίες. Κάθε μέρα, το σκουλήκι δημιουργεί μια νέα λίστα περίπου 250 τυχαίων ονομάτων τομέα όπως το aklkanpbq.info. Στη συνέχεια, ελέγχει αυτούς τους τομείς για νέες οδηγίες, επαληθεύοντας την κρυπτογραφική τους υπογραφή για να βεβαιωθεί ότι δημιουργήθηκαν από τον συγγραφέα του Conficker.

Όταν ο κώδικας του Conficker ξεκίνησε για πρώτη φορά, οι εμπειρογνώμονες ασφαλείας άρπαξαν μερικά από αυτά τα τυχαία δημιουργημένα πεδία, διακομιστές για να λαμβάνουν δεδομένα από μηχανές που έχουν καταστραφεί και να παρατηρούν πώς λειτουργεί το σκουλήκι. Όμως, καθώς η μόλυνση έγινε πιο διαδεδομένη, άρχισαν να καταγράφουν όλους τους τομείς - κοντά σε 2.000 την εβδομάδα - τους έβγαζαν εκτός κυκλοφορίας πριν οι εγκληματίες είχαν ένα chanc. Αν ποτέ οι κακοί προσπαθούσαν να καταγράψουν έναν από αυτούς τους τομείς εντολών και ελέγχου, θα είχαν βρει ότι είχαν ήδη ληφθεί από μια φανταστική ομάδα που ονομάζεται "Conficker Cabal". Η διεύθυνσή του; 1 Microsoft Way, Redmond Ουάσιγκτον

Πρόκειται για ένα νέο είδος παιχνιδιού cat-and-mouse για τους ερευνητές, αλλά έχει δοκιμαστεί μερικές φορές τους τελευταίους μήνες. Τον Νοέμβριο, για παράδειγμα, μια άλλη ομάδα χρησιμοποίησε την τεχνική για να πάρει τον έλεγχο των τομέων που χρησιμοποιούνται από ένα από τα μεγαλύτερα δίκτυα botnet παγκοσμίως, γνωστό ως Srizbi, κόβοντας το από τους διακομιστές εντολών και ελέγχου.

Με χιλιάδες τομείς, Ωστόσο, αυτή η τακτική μπορεί να γίνει χρονοβόρα και δαπανηρή. Έτσι, με την Conficker, η ομάδα έχει εντοπίσει και κλειδώσει τα ονόματα χρησιμοποιώντας μια νέα τεχνική, που ονομάζεται προεγγραφή τομέα και κλείδωμα.

Με το διαχωρισμό του έργου εντοπισμού και κλεισίματος των τομέων του Conficker, η ομάδα έχει κρατήσει μόνο τον σκουλήκι υπό έλεγχο, δεν το έδωσε ένα θανατηφόρο χτύπημα, δήλωσε ο Andre DiMino, συνιδρυτής του The Shadowserver Foundation, μιας ομάδας παρακολούθησης εγκλημάτων στον κυβερνοχώρο. "Αυτή είναι η πρώτη βασική προσπάθεια σε αυτό το επίπεδο που έχει τη δυνατότητα να κάνει μια ουσιαστική διαφορά", είπε. "Θα θέλαμε να σκεφτούμε ότι έχουμε κάποιες συνέπειες για το να το παραβλέψουμε."

Πρόκειται για μη καταγεγραμμένο έδαφος για το ICANN, την ομάδα που είναι υπεύθυνη για τη διαχείριση του συστήματος διεύθυνσης του Διαδικτύου. Στο παρελθόν, ο ICANN κατηγορήθηκε ότι χρησιμοποίησε αργά τη δύναμή του για την ανάκληση της διαπίστευσης από τους καταχωρητές ονομάτων τομέα που έχουν χρησιμοποιηθεί ευρέως από εγκληματίες. Αλλά αυτή τη φορά είναι ένας έπαινος για χαλαρωτικούς κανόνες που καθιστούσαν δύσκολο τον αποκλεισμό των περιοχών και τη συγκέντρωση των συμμετεχόντων στην ομάδα.

«Στη συγκεκριμένη περίπτωση, λιπαίνουν τους τροχούς έτσι ώστε τα πράγματα να κινούνται γρήγορα», δήλωσε ο David Ulevitch, ιδρυτής του OpenDNS. "Νομίζω ότι θα πρέπει να επαινεθούν γι 'αυτό … Είναι μία από τις πρώτες στιγμές που το ICANN έκανε πραγματικά κάτι θετικό."

Το γεγονός ότι μια τέτοια ποικιλόμορφη ομάδα οργανώσεων συνεργάζονται όλοι μαζί είναι αξιοσημείωτη, δήλωσε ο Rick Wesson, Διευθύνων Σύμβουλος της συμβουλευτικής ασφάλειας δικτύων Support Intelligence. "Ότι η Κίνα και η Αμερική συνεργάστηκαν για να νικήσουν μια κακόβουλη δραστηριότητα σε παγκόσμια κλίμακα … αυτό είναι σοβαρό … Αυτό δεν συνέβη ποτέ», ανέφερε ο ICANN.

Ο ICANN δεν έστειλε κλήσεις για να σχολιάσει αυτή την ιστορία και πολλοί από τους συμμετέχοντες στην προσπάθεια του Conficker, συμπεριλαμβανομένης της Microsoft, της Verisign και του Κέντρου Πληροφόρησης Δικτύου Διαδικτύου της Κίνας (CNNIC), αρνήθηκαν να πάρουν συνέντευξη γι 'αυτό το άρθρο.

Ιδιαίτερα, μερικοί συμμετέχοντες λένε ότι δεν θέλουν να επιστήσουν την προσοχή στις ατομικές τους προσπάθειες για την καταπολέμηση του οργανωμένου της εγκληματικότητας στον κυβερνοχώρο. Άλλοι λένε ότι επειδή η προσπάθεια είναι τόσο νέα, είναι ακόμα πρόωρο να συζητήσουμε τις τακτικές.

Όποια και αν είναι η όλη ιστορία, τα ποσά είναι σαφώς υψηλά. Το Conficker έχει ήδη εντοπιστεί σε κυβερνητικά και στρατιωτικά δίκτυα και έχει μολυνθεί ιδιαίτερα στα εταιρικά δίκτυα. Μια ολίσθηση και οι δημιουργοί του Conficker θα μπορούσαν να επαναπρογραμματίσουν το δίκτυό τους, δίνοντας στους υπολογιστές έναν νέο αλγόριθμο που θα έπρεπε να σπάσει και να τους δώσει την ευκαιρία να χρησιμοποιήσουν αυτούς τους υπολογιστές για καταχρηστικούς σκοπούς. "Πρέπει να είμαστε 100 τοις εκατό ακριβείς", δήλωσε ο Wesson. "Και η μάχη είναι μια καθημερινή μάχη."

(Η Sumner Lemon στη Σιγκαπούρη συνέβαλε σε αυτή την έκθεση.)