Forskere peger på fundet af et nyt peer-to-peer baseret botnet, der muligvis kan blæse det berygtede Storm netværk af banen som det største botnet nogensinde.
Det skriver darkreading.com.
Storm har ellers været anset som det mest avancerede botnet via sin peer-to-peer struktur, der har gjort det nærmest umuligt for sikkerhedsmyndigheder at optrævle og destruere netværket. Storm har hovedsageligt været brugt til spam og DDOS-angreb (distributed denial of service), som går ud på at angribe en eller flere servere med formål at nedlægge hjemmesider og internettjenester.
Men sikkerhedsekspert Peter Kruse fra firmaet CSIS forklarer, at det nye store botnet kan være en videreudvikling af Storm, som har født fem højt specialiserede netværk.
"For bare et halvt år siden havde vi ikke det mindste kendskab til undergrupperinger af Storm, men alt tyder på, at netværket er blevet opdelt i fem mindre, specialiserede net, der blandt andet har til formål at kapre netbanksnøgler, industrispionere og spamme indbakker," siger Peter Kruse.
Han forklarer, at de fem forskellige botnets, som Storm er blevet segmenteret i, er kontrolleret af følgende malware familier: Rustock, Srizhopa, Cutwail, Bidpher og Storm/Zhelatin. Flere af disse familier har rødder tilbage til starten af 2006, og findes allerede i et utal af forskellige varianter.
Langsigtet plan
Peter Kruse forklarer, at meget tyder på, at der har været en langsigtet plan med at dele Storm op i de fem mindre netværk.
"Når man ser på Storm historisk, så er der intet, der tidligere har tydet på, at Storm skulle bruges til hårdere internetkriminalitet. Men med fødslen af de nye netværk, har der måske fra starten for halvanden år siden været en større plan med Storm, som vi først begynder at se begyndelsen på nu," siger Peter Kruse.
Han nærer samtidigt en blanding af professionel beundring og ærgrelse over, hvor godt Storm er skruet sammen.
"Fordi malwaren i Storm er distribueret i et peer to peer netværk, hvilket er meget snedigt, er det nærmest umuligt at lægge en dæmper på botnettet. Vi kan ikke bare kappe kablerne til en enkelt server," siger Peter Kruse, som i lighed med mange sikkerhedseksperter har fået lukket sin hjemmeside ned af Storm i et DDOS-angreb.
Større russisk bande på spil
Flere sikkerhedseksperter peger på, at det er en russisk bande, det står bag Storm.
Og fordi distribueringen i peer-to-peer netværket samt udviklingen og vedligeholdelse af et zombie netværk af denne størrelse kræver så mange forskelligartede it-færdigheder, så vurderer Peter Kruse, at det er en større bande, som står bag Storm-babyerne.
"Storm og dens mindre netværk er ikke trivielle, så jeg vil skyde på, at der minimum står fem personer bag Storm og dens aftagere," siger Peter Kruse.
Undgå links i spam-mailen
Peter kruse forklarer, at man ikke ukritisk skal klikke på links i spammails.
Centralnetværket "Storm/Zhelatin" bliver nemlig stadig brugt til distribution og indsamling af nye zombier – eller maskiner.
"Fælles for de fem netværk har været, at de udsender spammails med link, som vil føre brugerne til en side der forsøger at misbruge en brede vifte af sårbarheder i Internet Explorer og populære tredjepartsprogrammer som WinZip og Quicktime," siger Peter Kruse.
Han opfordrer derfor til sund skepsis, og at man bør sikre sig selv ved at installere et godt antivirus-program.
