Microsoft melder om en stor sejr i kampen mod den organiserede internet-kriminalitet. En amerikansk domstol har besluttet at give Microsoft rettighederne til 276 internet-domæner som tidligere er brugt af Waledac botnettet. Dermed ser det til, at det er lykkes at få aflivet botnettet, der engang var et af verdens største og mest aggressive. Det skriver USA Today.
Allerede i foråret gennemførte Microsoft en operation - med det interne kodenavn "Operation b49" - som skulle sprænge botnettet. Det menes at botnettet Waledac på sit højdepunkt havde kapacitet til at sende mere end 1,5 milliarder spam-mails - om dagen.
Waledac bestod af hundredtusinder af inficerede computere og nogle få command-and-control maskiner. Microsofts operation gik efter at afbryde forbindelsen mellem zombie-computerne og deres kontrolservere. Altså reelt at kappe hovedet af botnettet og efterlade de inficerede maskiner uden styring.
Microsoft havde fundet 276 domæne-adresser, som blev brugt af de kriminelle der styrer botnettet, og softwarefirmaet fik i februar en amerikansk domstol til at beordre VeriSign til at lukke for alle domæne-navnene på DNS-niveau. Dermed kunne zombie-computerne ikke længere komme i kontakt med kontrolserverne - og botnettet blev dermed ubrugeligt.
Operationen var den første af sin art og den krævede måneders forberedelse og et større samarbejde mellem myndigheder og sikkerhedseksperter i en række lande.
Det er nyt, at man har valgt at gå rettens vej for at blokeret suspekte netadresser - det tog kun fire timer under retsmødet i februar at få dommeren til at godkende, at adresserne skulle fjernes fra nettet. I løbet af de næste 36 timer havde VeriSign opløst alle de 276 domæner.
Nu har Microsoft så overtaget det permanente ejerskab over domænerne, og det skulle være det endelige dødsstød til Waledac. ”RIP Waledac” skriver Microsoft i sin egen blog. Microsoft har brugt en særlig juridisk procedure kaldet ”ex parte”, som gør det muligt at konfiskere andres ejendom uden at den pågældende er til stede i retten.
I dette tilfælde har de reelle ejere af domænerne ikke ønsket at melde sig, men Microsoft har forsøgt at sandsynliggøre i retten, at de formodede bagmænd faktisk er klar over, hvad der foregår. Microsofts eget websted om sagen har været udsat for flere angreb og mindst én tilknyttet sikkerhedsforsker har modtaget trusler.
Og Microsofts sejr i retten kan betyde, at den samme strategi kan bruges til at lukke andre botnet.
Men alligevel indrømmer Microsoft, at problemet dermed langt fra er løst. For de mange inficerede computere har stadig malware liggende, som venter på kommandoer, og man kunne forestille sig at et andet botnet kommer ind og overtager de mange computere fra Waledac.
Microsoft vil nu fokusere indsatsen på at få renset de sidste computere. Ifølge den seneste undersøgelse var der stadig 58.000 unikke IP-adresser inficeret med Waledac-malware den 30. august. Det er et fald på 10 procent i forhold til måneden før.
Nu vil softwarefirmaet samarbejde med internet-udbydere om at få renset kundernes computere og der er også indrettet en hjemmeside, hvor man kan få hjælp til at tjekket sin maskine.
Flere spor i Waledac-sagen peger mod Kina, men der er ikke foretaget anholdelser i sagen.
