W wyścigu między spamerami a zwalczającymi ich organizacjami ciągle prowadzą ci pierwsi – widać to w naszych skrzynkach pocztowych. Tym bardziej cieszą sukcesy na tym trudnym froncie. Jeden z nich został ogłoszony przed chwilą – wyłączono botnet Grum, trzecie największe źródło spamu.
Wg analizy firmy FireEye, która w dużym stopniu przyczyniła się do wyłączenia tego botnetu, Grum był aktywny od lutego 2008. Na rynku dużych botnetów przetrwanie 4 lat można opisać jako ogromny sukces. Firma Tustwave szacuje, że Grum ostatnio odpowiedzialny był za ok. 15-35% światowego spamu (oznacza to wg szacunków 15-35 miliardów wiadomości dziennie).
Statystyki aktywności z ostatniego tygodnia (źródło: Trustwave)
Jak wyłączyć botnet?
Jak się okazuje, twórcy Gruma ułatwili zadanie jego przyszłym pogromcom. W przeciwieństwie do jego młodszych braci, Grum swoją działalność opierał na adresach IP serwerów zarządzających zapisanych na stałe w kodzie programu. Oczywiście pliki te mogły być aktualizowane, jednak odcięcie od wszystkich serwerów zarządzających naraz mogło okazać się dla botnetu śmiertelnym ciosem. Twórcy zdawali sobie z tego sprawę, dlatego rozproszyli jego infrastrukturę geograficznie – serwery zostały zlokalizowane w Panamie, Holandii i Rosji. Dodatkowo serwery w Panamie i Rosji kontrolowały osobne segmenty botnetu – wyłączenie jednego z nich ciągle nie usuwało problemu w całości.
Grum i jego konkurencja w ostatnich miesiącach (źródło: Trustwave)
Skoordynowany atak
Dwa dni temu pojawiła się informacja o akcji holenderskiej firmy hostingowej, która – w oparciu o raporty FireEye – wyłączyła dwa serwery botnetu. Były to serwery odpowiedzialne za dostarczanie szablonów kampanii spamerskich – serwery zarządzające samym botnetem ciągle działały w Panamie i Rosji, a administratorzy sieci, w których funkcjonowały, nie reagowali na zgłoszenia. Pojawiły się komentarze wskazujące, że wyłączenie holenderskich serwerów nie uczyniło poważniejszej szkody botnetowi, a brakujące elementy infrastruktury zostaną szybko odbudowane.
Rosja i Ukraina w końcu zaczynają współpracować?
Zgodnie z oczekiwaniami części analityków, właściciele botnetu szybko przystąpili do jego ratowania. W tym celu uruchomili sześć nowych serwerów, które miały zastąpić maszyny wyłączone w Holandii. Tym razem przestępcy umieścili nową infrastrukturę na Ukrainie.
Okazało się jednak, że międzynarodowa presja odniosła skutek i pierwsza zareagowała firma z Panamy, która wyłączyła tamtejsze serwery zarządzające, odcinając sporą część botnetu. Krótko potem dowiedzieliśmy się, że choć rosyjski dostawca internetu odmówił współpracy, to udało sie przekonać jego dostawce wyższego poziomu do zablokowania konkretnych adresów IP, w efekcie odcinając komputery botnetu od centrum zarządzającego. Do tego firma ukraińska również wykazała się chęcią współpracy, odłączając ostatnie elementy botnetu. Wszystko wskazuje więc na to, że botnet Grum dokończył dzisiaj długiego żywota.
