Policja zhakowała komputery użytkowników, by zwalczyć botnet

Holenderska policja podjęła nietypowe działania w walce z cyberprzestępczością - na komputerach zamienionych z zombie PC zainstalowała bez zgody i wiedzy ich właścicieli własne oprogramowanie. Zamiar był szczytny, a osiągnięty efekt - spektakularny. Ale czy cel uświęca środki?

Specjalna jednostka ds. walki z cyberprzestępczością, działająca w strukturach holenderskiej policji, rozpoczęła śledztwo w sprawie botnetu Bredolab latem br. Sieć zombie PC działała znacznie dłużej - szacuje się, że do końca 2009 r. ilość spamu pocztowego zawierającego robaka Bredolab wyniosła ok. 3,6 miliarda e-maili3. Szkodnikiem mogło być infekowanych nawet do 3 mln maszyn miesięcznie, a liczba zombie PC w sieci mogła sięgać co najmniej 29 mln komputerów.

Robak, od którego wzięła się nazwa sieci komputerów zombie, jest zdolny do kradzieży danych zapisanych na dysku i przechwytywania informacji wpisywanych z klawiatury.

Zobacz również:

  • Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Ustalono, że serwery sterujące siecią botów były częścią infrastruktury firmy LeaseWeb, największej holenderskiej spółki hostingowej. LeaseWeb umożliwia swoim klientom wynajem dodatkowego miejsca na serwerach firmom trzecim (tzw. umowy resellerskie), nie ingeruje w to, komu to miejsce jest wynajmowane. W sprawie Bredolab okazało się, że serwery LeaseWeb zostały wynajęte osobie z Europy Wschodniej, która z kolei podnajęła owo dodatkowe miejsce na nich - w ramach umowy resellerskiej - operatorowi botnetu.

LeaseWeb zapewniło policji dostęp do 143 serwerów, które - jak dowiedzieli się śledczy - służyły do zarządzania siecią zombie PC. Dzięki temu funkcjonariusze we współpracy z Holenderskim Instytutem Kryminalistyki, tamtejszym oddziałem CERT oraz wytwórcą oprogramowania zabezpieczającego Fox IT mogli podjąć działania przeciw operatorowi/operatorom botnetu.

Akcja rozpoczęła się wczesnym popołudniem w poniedziałek, 25 października. W jej ramach funkcjonariusze jednostki anty-cyberprzestępczej rozpoczęli zastępowanie niebezpiecznego bota - "dobrym".

W ten sposób użytkownicy komputerów zainfekowanych Bredolabem uruchamiając przeglądarkę internetową zaczęli być przekierowywani na stronę informującą o zagrożeniu. Witryna ostrzega, że jeśli została wyświetlona automatycznie, to znaczy, że komputer stał się częścią botnetu. Strona zawiera też informacje, jak pozbyć się Bredolaba z systemu.

Kiedy operator botnetu zauważył próbę przejęcia, zainicjował atak DDoS skierowany przeciw urządzeniom i infrastrukturze wykorzystywanej przez śledczych. Atak nie powiódł się. Co więcej, we wtorek, 26 października zatrzymany został w Armenii 27-letni obywatel tego kraju, podejrzany o kierowaniem botnetem Bredolab.

Komentarz

Pozostaje tylko pytanie, czy holenderscy funkcjonariusze w walce o ochronę prawa i użytkowników, sami nie złamali przepisów. W wielu krajach nieautoryzowane wprowadzenie zmian w systemie komputerowym jest prawnie zabronione. Graham Clueley, reprezentujący firmę antywirusową Sophos uważa jednak za mało prawdopodobne, by ktokolwiek narzekał na działania Holendrów. Skoro tak trudno przekonać część użytkowników, że w Sieci są stale wystawieni na niebezpieczeństwo, to być może należy im to udowadniać w taki właśnie sposób.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200