Symantec teki ison loven maailman suurimpaan bottiverkkoon
Tietoturvayhtiö Symantec on kertonut tehneensä suuren iskun maailman suurinta tunnettua bottiverkkoa vastaan. ZeroAccess-bottiverkon arvioidaan saastuttaneen ja olleen aktiivisena yli 1,9 miljoonassa tietokoneessa ympäri maailman.
Kuluvan vuoden maaliskuussa Symantec alkoi tutkimaan tarkemmin ZeroAccess-bottiverkon toimintamekaniikkaa löytääkseen tavan sulkea saastuneita koneita pois verkosta, tai jopa koko verkon. Tutkimukset tuottivat lopulta tulosta kontrolloidussa ympäristössä, mutta koska löydetystä heikkoudesta kerrottiin julkisesti toukokuussa julkaistussa raportissa, ehti verkon luoja aloittaa toimenpiteet heikkouden korjaamiseksi. Kesäkuun lopulla Symantec huomasi monitoroimansa ZeroAccess-bottiverkon alkaneen päivittyä uuteen versioon, jossa aiemmin löydetty heikkous oli korjattu.
Symantecille jäi kaksi vaihtoehtoa, joko toimia heti vaikka operaatioon ei oltu vielä täysin valmiita, tai aloittaa uuden heikkouden etsintä. Noin kaksi viikkoa sen jälkeen, kun verkko alkoi päivittyä Symantec aloitti hyökkäyksensä vielä päivittämättömiä koneita vastaan. Operaatio tuotti tyydyttävän tuloksen, kun yli puoli miljoonaa tietokonetta saatiin suljettua pois ZeroAccess-bottiverkosta. Testien mukaan viiden minuutin yhteys vertaisverkkoon riitti sulkemaan aina uuden koneen pois verkosta.
ZeroAccess-bottiverkko toimii vertaisverkon (P2P, Peer-top-peer) tavoin, jonka vuoksi sen tuhoaminen on äärimmäisen vaikea tehtävä. Aina kun uusi kone saastuu ja liittyy ZeroAccess-verkkoon, se ottaa yhteyden jo tunnettuun vertaisverkkoon saaden sitä kautta aina päivitetyt listat muista verkkoon kuuluvista koneista sekä uusia tiedostoja käsiteltäväkseen. Päällä ollessaan saastuneet koneet tarkistavat taukoamatta muilta verkkoon kuuluvilta koneilta uusia listoja verkkoon kuuluvista koneista ja päivityksiä sekä pyöritettäviin ohjelmiin että ZeroAccess-verkon haavoittuvuuksien korjaamiseen.
ZeroAccess-bottiverkon tehtävä on tuoda tuloja sen luojalle tai luojille. Saastuneet koneet klikkaavat mainoksia automaattisesti sekä louhivat bitcoin-valuuttaa. Tulot kummastakin ohjautuvat verkon luojalle. Symantecin arvion mukaan jokainen saastunut kone tuottaa noin 257 megatavua verkkoliikennettä tunnissa pelkästään mainoksien klikkailun vuoksi. Yksi kone klikkaa arviolta 1008 mainosta päivässä, olettaen että se on päällä koko vuorokauden.
Bitcoin-valuutan louhinnassa yksi vuoden päällä oleva kone tuottaa noin 0,41 dollaria, mikä voi vaikuttaa mitättömältä summalta kunnes sen kertoo 1,9 miljoonalla saastuneella koneella. Sähköä saastunut tietokone kuluttaa päällä ollessaan yli 2,25 kertaisesti verrattuna puhtaaseen koneeseen. Esimerkkikoneena Symantecin laskuissa käytettiin Dell OptiPlex GX620 -tietokonetta varustettuna 3,4 gigahertsin kellotaajuudella toimivalla Pentium D 945 -prosessorilla ja kahdella gigatavulla muistia.
TechSpot, Symantec grapples with one of the largest botnets in history
Symantec, Grappling with the ZeroAccess Botnet
