И досега е имало големи компютърни удари чрез червей, но никой не се и доближава до Conficker.
Забелязан първо през ноември, червеят скоро зарази повече компютри от всеки друг подобен код през последните години. Според някои оценки той вече е инсталиран на повече от 10 млн. PC. Но след първоначалната си поява, той бе изненадващо тих. Conficker заразява PC-та и се разпространява в мрежи, но не прави нищо друго. Той може да бъде използван за масирана кибератака, парализирайки виртуално всеки сървър в интернет или да бъде „нает" от спамърите за „изпомпване" на милиарди спам съобщения. Вместо това, това той стои там, като една огромна разрушаваща машина, чакаща някой просто да завърти ключа.
Доскоро много от специалистите по сигурността просто не знаеха какво чакат мрежите с Conficker. На 12 февруари, четвъртък, международна коалиция разкри, че са предприели безпрецедентни стъпки за отделяне на червея от сървърите за контрол и управление, които биха могли да бъдат контролирани от него. Групата включва изследователи в областта на сигурността, технологични компании, регистратори на домейни, които са обединили усилията си заедно с организацията ICANN, надзираваща интернет системата за домейн имената. Microsoft дори обеща $250 000 награда за информация, която ще доведе до арестуване на авторите на зловредния код.
Учените са изолирали кода на Conficker и са открили, че той използва хитроумна нова техника да се „обади у дома" за нови инструкции. Всеки ден червеят генерира нов списък с около 250 случайни домейн имена, като aklkanpbq.info. След това проверява тези домейни за нови инструкции, верифицира криптографските им сигнатури, за да е сигурен, че са създадени от автора на Conficker.
Когато кодът на Conficker е бил разбит за пръв път, експертите по сигурността са хванали някои от тези случайно генерирани домейни, създавайки нещо, което е познато като „помийни" (sinkhole) сървъри, за да получават данни от хакнати машини и да наблюдават как работи червеят. Но след като заразата се е разпространила толкова широко, те са започнали да регистрират всички домейни (по около 2000 на седмица) и да ги вадят от употреба преди престъпниците да имат шанс да кажат на заразените компютри какво да правят. Ако някой от лошите момчета се опита да регистрира един от тези контролирани домейни, ще разбере, че те вече са „взети" от фиктивна група, наричаща себе си „Conficker Cabal". Адресът й? 1 Microsoft Way, Redmond Washington.
Това е нов тип игра на „котка и мишка" за учените, но тя е била тествана няколко пъти през последните месеци. През ноември например друга група си послужи със същата техника, за да поеме контрола върху домейните, използвани от една от най-големите световни ботнет мрежи, позната като Srizbi, като по този начин е „отрязала" достъпа й до сървърите за контрол.
Наличието на хиляди домейни обаче прави тази тактика изключително времеемка и скъпа. Така че при Conficker групата е идентифицирала и заключила имена, използвайки нова техника, наречена „пререгистрация и заключване на домейн".
Разделяйки работата по разпознаване и заключване на домейни на Conficker, групата проверява само червея, без да му нанася фатален удар, заяви Андре ДиМино, съосновател на Фондация Shadowserver („сървър в сянка"), група за предпазване от киберпрестъпения. „Това е наистина първото ключово усилие на подобно ниво, което има потенциал да осигури съществен напредък, казва той. - Смятаме, че сме постигнали известен ефект за парализирането му."
Това е неизследвана територия за ICANN, групата, отговаряща за управлението на адресната система в интернет. В миналото ICANN бе критикувана многократно, че твърде мудно използва правомощията си да отхвърля акредитации на домейни имена, използвани масово от криминалните среди. Този път обаче тя заслужава похвала заради отслабването на правилата за заключване на домейни и за обединяване на усилията на всички участници в инициативата. „В този специфичен случай те са „смазали механизма", така че нещата да се придвижват бързо, заяви Дейвид Улевич, основател на OpenDNS. - Смятам, че те трябва да бъдат похвалени... Това е първият път, в който ICANN е направила нещо позитивно."
Фактът, че толкова различни организации работят заедно, е забележителен, добавя Рик Уесън, CEO на консултантската компания в областта на мрежовата сигурност Support Intelligence. „Китай и Америка да се кооперират за борба със зловредна дейност в глобален мащаб... това е нещо сериозно. Това не се е случвало досега", добавя той.
ICANN е отказала коментари на новината, а много от участниците в Conficker, включително Microsoft, Verisign и China Internet Network Information Center (CNNIC) са отказали да бъдат интервюирани. В частни разговори някои от участниците са казали, че не искат да се обръща внимание върху техните усилия за борба срещу „може би добре организирана престъпна група." Други твърдят, че тези усилия са все още твърде нова, незряла инициатива, за да се обсъждат тактики.
Каквато и да е цялата истина, залогът е твърде висок. Conficker вече е успял да проникне в правителствени и военни мрежи, като е много опасен за корпоративните мрежи. Едно проспиване и създателите на Conficker могат да препрограмират цялата мрежа, задавайки на компютрите нов алгоритъм, който да им позволи да използват машините за свои престъпни цели. „Трябва да бъдем прецизни на 100%, казва Уесън. - А битката става ежедневна."
IDG News Service, Сан Франциско
Източник: IDG.BG
