Met wereldwijde inspanning wordt een nieuw type worm vertraagd

Er zijn al wel eens grote computerwormuitbraken geweest, maar niets zoals Conficker.

De worm werd voor het eerst opgemerkt in november en had de laatste jaren al snel meer computers besmet dan welke andere worm dan ook. Volgens sommige schattingen is het nu op meer dan 10 miljoen pc's geïnstalleerd. Maar sinds zijn eerste verschijning is het merkwaardig stil geweest. Conficker infecteert pc's en verspreidt zich over netwerken, maar doet niets anders. Het kan worden gebruikt om een ​​enorme cyberaanval te lanceren, waardoor vrijwel elke server op internet wordt verlamd, of het kan worden verhuurd aan spammers om miljarden en miljarden spamberichten uit te stoten. In plaats daarvan zit het daar, een enorme motor van vernietiging wachtend op iemand om de sleutel om te draaien.

Tot voor kort wisten veel beveiligingsonderzoekers gewoon niet waar het Conficker-netwerk op zat te wachten. Op donderdag onthulde een internationale coalitie echter dat ze ongekende stappen hadden genomen om de worm los te houden van de command-and-control-servers die deze konden beheersen. De groep bestaat uit beveiligingsonderzoekers, technologiebedrijven, registrars van domeinnamen die samenwerken met de Internet Corporation for Assigned Names and Numbers (ICANN), die toezicht houdt op het domeinnaamsysteem van het internet.

[Lees meer: ​​Malware verwijderen vanaf je Windows-pc]

Onderzoekers hadden Conficker's code uit elkaar gehaald en ontdekt dat het een lastige nieuwe techniek gebruikt om naar huis te bellen voor nieuwe instructies. Elke dag genereert de worm een ​​nieuwe lijst van ongeveer 250 willekeurige domeinnamen zoals aklkanpbq.info. Vervolgens worden deze domeinen gecontroleerd op nieuwe instructies, waarbij de cryptografische handtekening wordt geverifieerd om ervoor te zorgen dat ze door de auteur van Conficker zijn gemaakt.

Toen de code van Conficker voor het eerst werd gekraakt, namen beveiligingsdeskundigen enkele van deze willekeurig gegenereerde domeinen weg, waardoor het zogenoemde sinkhole werd gecreëerd servers om gegevens van gehackte machines te ontvangen en te observeren hoe de worm werkte. Maar naarmate de infectie meer verspreid raakte, begonnen ze alle domeinen te registreren - bijna 2.000 per week - om ze uit de roulatie te nemen voordat criminelen een kans kregen. Als de slechteriken ooit een van deze commando- en controledomeinen probeerden te registreren, zouden ze hebben ontdekt dat ze al waren overgenomen door een fictieve groep die zichzelf de 'Conficker Cabal' noemde. Zijn adres? 1 Microsoft Way, Redmond Washington.

Dit is een nieuw soort kat-en-muisspel voor onderzoekers, maar het is de afgelopen paar maanden een paar keer getest. In november bijvoorbeeld, gebruikte een andere groep de techniek om de controle te nemen over domeinen die worden gebruikt door een van 's werelds grootste botnetnetwerken, bekend als Srizbi, waardoor het wordt afgesloten van zijn command-and-control-servers.

Met duizenden domeinen, deze tactiek kan echter tijdrovend en duur worden. Dus met Conficker heeft de groep namen geïdentificeerd en geblokkeerd met behulp van een nieuwe techniek, domeinregistratie en vergrendeling.

Door het werk van het identificeren en vergrendelen van Conficker's domeinen te scheiden, heeft de groep de worm alleen in toom gehouden, niet deelde het een fatale slag, zei Andre DiMino, mede-oprichter van The Shadowserver Foundation, een cybercrime watchdog-groep. "Dit is echt de eerste belangrijke inspanning op dit niveau die het potentieel heeft om een ​​substantieel verschil te maken," zei hij. "We willen graag denken dat we enig effect hebben gehad door het te verlammen."

Dit is onbekend terrein voor ICANN, de groep die verantwoordelijk is voor het beheer van het adressysteem van internet. In het verleden werd de ICANN bekritiseerd omdat ze traag was in het gebruik van haar bevoegdheid om accreditatie in te trekken van domeinnaamregistreerders die op grote schaal door criminelen werden gebruikt. Maar deze keer krijgt het lof voor ontspannende regels die het moeilijk maakten om domeinen af ​​te sluiten en de deelnemers van de groep bij elkaar te brengen.

"In dit specifieke geval hebben ze de wielen gesmeerd zodat de dingen snel zouden gaan," zei David Ulevitch, oprichter van OpenDNS. "Ik denk dat ze daarvoor moeten worden geprezen … Het is een van de eerste keren dat ICANN echt iets positiefs heeft gedaan."

Het feit dat een dergelijke diverse groep organisaties allemaal samenwerkt, is opmerkelijk, zegt Rick Wesson, CEO van Network Security Consulting Support Intelligence. "Dat China en Amerika hebben samengewerkt om een ​​kwaadaardige activiteit op wereldschaal te verslaan … dat is serieus, dat is nooit gebeurd," zei hij.

ICANN heeft geen oproepen teruggestuurd naar commentaar voor dit verhaal en veel van de deelnemers aan de Conficker-inspanning, inclusief Microsoft, Verisign en het China Internet Network Information Center (CNNIC) weigerden om geïnterviewd te worden voor dit artikel.

Particulier, sommige deelnemers zeggen dat ze geen aandacht willen vestigen op hun individuele inspanningen om een ​​georganiseerde organisatie te bestrijden. cybercriminaliteit groep. Anderen zeggen dat omdat de inspanning zo nieuw is, het nog te voorbarig is om tactieken te bespreken. Wat het hele verhaal ook is, de inzet is duidelijk hoog. Conficker is al gespot op overheids- en militaire netwerken en is bijzonder virulent geweest binnen bedrijfsnetwerken. Eén foutje, en de makers van Conficker konden hun netwerk herprogrammeren, de computers een nieuw algoritme geven dat zou moeten worden gekraakt en hen de kans zou bieden om deze computers voor schandelijke doeleinden te gebruiken. "We moeten 100 procent nauwkeurig zijn", zei Wesson. "En de strijd is een dagelijkse strijd." <((Sumner Lemon in Singapore heeft bijgedragen aan dit rapport.)