S globalnim naporom, novi tip crva je usporen

Bilo je već mnogo velikih crvnih izbora, ali ništa slično Confickeru.

Prvo uočeno u studenom, crv je u posljednjih nekoliko godina zarazio više računala od bilo kojeg crva. Po nekim procjenama sada je instalirana na više od 10 milijuna računala. Ali od svog prvog pojavljivanja, bilo je čudno tiho. Conficker inficira računala i širi se oko mreže, ali ne radi ništa drugo. Moglo bi se koristiti za pokretanje masovnog cyberattacka, koji bi prorijedio gotovo bilo koji poslužitelj na Internetu ili se može iznajmiti spameri kako bi se ispumpale milijarde na milijarde poruka neželjene pošte. Umjesto toga, sjedi tamo, masivni motor uništenja koji čeka da netko okrene ključ. Do nedavno, mnogi istraživači sigurnosti jednostavno nisu znali zašto je Confickerova mreža čekala. Međutim, u četvrtak je međunarodna koalicija otkrila da su poduzeli korake bez presedana kako bi crv bio odvojen od poslužitelja za nadzor i upravljanje koji bi ga mogli kontrolirati. Skupina se sastoji od sigurnosnih istraživača, tehnoloških tvrtki, registrara domena koji su udružili snage s Internet Corporation za pridružena imena i brojeve (ICANN), koji nadgleda sustav domene Interneta.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Istraživači su razdvojili Confickerov kod i otkrili da koristi novu tehniku ​​kako bi telefonirala kući za nove upute. Svaki dan, crv generira svježi popis od oko 250 nasumičnih imena domena kao što je aklkanpbq.info. Potom provjerava te domene za nove upute, potvrđujući njihov kriptografski potpis kako bi osigurali da su ih stvorili Confickerov autor.

Kad je Confickerov kôd prvi put napukao, sigurnosni stručnjaci iskoristili su neke od tih slučajno generiranih domena stvarajući ono što je poznato kao ponor poslužitelja za primanje podataka iz hakiranih strojeva i promatranje kako je crv radio. Ali kako su infekcije postale sve raširenije, počeli su registrirati sve domene - blizu 2.000 tjedno - uzimajući ih iz cirkulacije prije no što su kriminalci imali šansu. Ako se ikad loši pokuša registrirati u jednoj od tih domena za nadzor i kontrolu, otkrili bi da su ih već preuzeli, izmišljene skupine koja sebe naziva "Conficker kabal". Njegova adresa? 1 Microsoft Way, Redmond Washington

Ovo je nova vrsta mačke i miša za istraživače, no testirana je nekoliko puta tijekom posljednjih nekoliko mjeseci. U studenom, primjerice, druga grupa koristila je tehniku ​​da preuzme kontrolu nad domenama koje koristi jedna od najvećih svjetskih botnet mreža, poznatog pod imenom Srizbi, i to s njenim poslužiteljima za upravljanje i nadzor.

Uz tisuće domena, Međutim, ova taktika može postati dugotrajna i skupo. Dakle, s tvrtkom Conficker, grupa je identificirala i zaključala imena koristeći novu tehniku, nazvanu predregistraciju i zaključavanje domene.

Podijelivši rad identifikacije i zaključavanja Confickerovih domena, grupa je samo čula crv na ček, a nisu ga riješili kobni udar ", rekao je Andre DiMino, suosnivač Zaklade Shadowserver, skupina za nadgledanje kibernetičkog kriminala. "Ovo je doista prvi ključni napor na ovoj razini koji ima potencijal da stvori bitnu razliku", kazao je. "Željeli bismo pomisliti da smo imali nekakav učinak u tome da smo ga smetali."

Ovo je neistražen teritorij za ICANN, grupu odgovornu za upravljanje adresnim sustavom Interneta. U prošlosti ICANN je kritiziran zbog sporog korištenja svoje ovlasti za opoziv akreditacije od registrara domene koji su naširoko koristi kriminalci. Ali ovaj put se slavi zbog opuštajućih pravila koja su otežavala zaključavanje domena i okupljanje sudionika grupe. "U ovom konkretnom slučaju podmazali su kotače kako bi se stvari brzo kretale", rekao je David Ulevitch, osnivač OpenDNS-a. "Mislim da bi trebali biti pohvali za to … To je jedan od prvih vremena da je ICANN stvarno učinio nešto pozitivno."

Činjenica da takva raznolika skupina organizacija rade zajedno je izvanredna, rekla je Rick Wesson, predsjednik Uprave za podršku informacijske podrške za mrežnu sigurnost. "Da Kina i Amerika surađuju kako bi porazili zlonamjernu aktivnost na globalnoj razini … to je ozbiljno, to se nikada nije dogodilo", rekao je. "ICANN nije vratio pozive koji traže komentar za ovu priču i mnoge sudionike u Confickerovu naporu, uključujući Microsoft, Verisign i Kina Internet Network Information Center (CNNIC) odbili su intervjue za ovaj članak.

Privatno, neki sudionici kažu da ne žele privući pozornost na svoje individualne napore u borbi protiv onoga što bi moglo biti organizirano grupu cyber kriminala. Drugi kažu da zato što je napor tako novo, još je preuranjeno razgovarati o taktikama.

Bez obzira na cijelu priču, udjeli su očito visoki. Conficker je već bio uočen na vladinim i vojnim mrežama te je osobito virulentan unutar korporativnih mreža. Jedan slagalica, a Confickerovi kreatori mogli bi reprogramirati svoju mrežu, dajući računalima novi algoritam koji bi trebao biti napuknut i pružajući im priliku da koriste ta računala za neugodne svrhe. "Moramo biti 100 posto točni", rekao je Wesson. "A bitka je svakodnevna bitka."

(Sumner Lemon u Singapuru pridonio je ovom izvješću.)