Estonian ISP Cuts off Control Servers for Srizbi Botnet

استضاف مزود خدمات الإنترنت الإستوني الذي استضاف مؤقتًا خوادم القيادة والتحكم في الروبوتات السريلzية ، المسؤولة عن جزء كبير من الرسائل غير المرغوب فيها في العالم ، هذه الخوادم ، وفقًا لمحللي أمن الكمبيوتر

استضافت Starline Web Services ، التي يوجد مقرها في عاصمة إستونيا تالين ، أربعة أسماء نطاقات تم تحديدها كنقاط تحكم لسريزبي ، وفقاً لباحثين من شركة أمان الكمبيوتر FireEye

مئات الآلاف من أجهزة الكمبيوتر في جميع أنحاء العالم مصابة بـ Srizbi تمت برمجة مبرمج rootkit الذي يصعب إزالته والذي يستخدم لإرسال الرسائل غير المرغوب فيها ، للحصول على تعليمات جديدة من الخوادم في تلك المجالات.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

Srizbi is consi تكاثرت واحدة من أقوى بوت نت ، مع ما لا يقل عن 450،000 أجهزة الكمبيوتر المصابة. تشير التقديرات إلى أن نصف الرسائل غير المرغوب فيها في العالم نشأت من أجهزة كمبيوتر مصابة بـ Srizbi. لا يزال البريد المزعج تجارة مربحة لمجرمي الإنترنت.

ولكن مرسلو البريد غير المرغوب فيهم فقدوا السيطرة على سريزبي عندما تم استبعاد مزود خدمة الإنترنت الذي استضاف سابقًا خوادم التحكم والسيطرة الخاصة به من الإنترنت. وقد قطعت شركة McColo ، التي يقع مقرها في سان خوسيه بكاليفورنيا ، من قبل مزوديها في وقت سابق من هذا الشهر بعد أن كشفها خبراء أمن الكمبيوتر وواشنطن بوست.

ترك ذلك مرسلي الرسائل غير المرغوب فيها غير قادرين على التحكم في أجهزة الكمبيوتر المصابة بالسرزبي. لكن مدونة Srizbi احتوت على آلية احتياطية حيث يمكن أن يعيد مرسلو الرسائل غير المرغوب فيها التواصل مع الأجهزة التي تقطعت بهم السبل إذا حدث مثل هذا السيناريو.

تعمل خوارزمية داخل Srizbi بشكل دوري على توليد أسماء نطاقات جديدة حيث ستبحث البرمجيات الخبيثة عن تعليمات جديدة إذا كانت تلك النطاقات تعيش على الإنترنت. وبتسلق هذه الخوارزمية نفسها ، كان على مرسلي الرسائل غير المرغوب فيها تسجيل أسماء النطاقات المناسبة وتوجيههم إلى خوادمهم.

على الرغم من ذلك ، كان مرسلو الرسائل غير المرغوب فيها بحاجة إلى مزود خدمة إنترنت جديد لاستضافة هذه الخوادم ، على الأقل لفترة من الوقت. وقد عثروا على Starline Web Services ، وهو مزود خدمة إنترنت صغير جدًا ، ولكن هذا المزود قد قطعها أيضًا.

"كنت مقتنعًا بأن هذه المواقع قد أغلقت" ، قال هيلار أريليد ، كبير مسؤولي الأمن في فريق الاستجابة لحالات الطوارئ في الكمبيوتر في إستونيا (CERT) ، يوم الخميس.

محاولات الاتصال بشركة Starline Web Services لم تنجح. لكن آريليد قال إن CERT كانت على اتصال مع الشركة ، ويبدو أنها تستجيب للشكاوى المتعلقة بالإساءة.

Starline Web Services تشتري اتصالها من Compic ، وهي شركة إستونية أخرى. يقول تارمو راندل ، الخبير في أمن المعلومات في المنظمة: "تم إخطار Compic من قِبل CERT في إستونيا بأنه يمتلك مواقع ويب تستضيف برامج خبيثة."

قال Randel أن CERT "باستمرار" قد أخبر Compic عن البرامج الضارة التي استضافتها. وقال راندل إن شركة كومبيك ستقوم باتخاذ إجراءات لإزالة المواقع اعتمادا على "بصوت عال ونحن نصرخ". عادة ما يتفاعل Compic بسرعة عندما يرسل CERT رسالة شكوى عبر البريد الإلكتروني - وينسخ الشرطة الجنائية الإستونية ، قال راندل.

يوم الخميس ، أرسل موفر المنبع الرئيسي لشركة Compic ، Linxtelecom ، بريدًا إلكترونيًا إلى مجتمع ISP الإستوني الذي قال إنهم وقال راندال إن شركة Linxtelecom تبيع خدمات نقل بروتوكول الإنترنت (IP) التي تربط مزودي خدمات الإنترنت المحليين ومشغلي الاتصالات بشركات نقل بيانات أكبر. وقالت شركة لينكستيلكوم في البريد الإلكتروني إن 99 في المائة من الشكاوى التي تتلقاها بشأن سوء المعاملة تتعلق بكوبيك ، حسبما قال راندل.

قال مسؤول في شركة Linxtelecom إنه لا يعرف عن البريد الإلكتروني. ويستجيب Compic للشكاوى في غضون يومين أو نحو ذلك ، لكن Linxtelecom في الماضي قطع الاتصال بالمواقع التي استضافتها Compic بعد الشكاوى ، حسبما قال المسؤول.

ويقول خبراء أمن الكمبيوتر إن هناك عددًا من مزودي خدمات الإنترنت ومسجلي اسم النطاق العمل عن كثب مع المجرمين الإلكترونيين لدعم عمليات البريد العشوائي ، ومواقع الويب التي تبيع البرامج المزيفة وعمليات الخداع الأخرى.

من الصعب إيقاف العمليات بسبب طبيعتها الدولية ، السرعة التي يتفاعل بها المجرمون الإلكترونيون مع عمليات الإغلاق وعدم وجود موارد أو إنفاذ للقانون.

جاء إغلاق ماكولو بعد نشر البحث الذي أظهر مدى تورط الشركة في المجرم الإجرامي.

وبالمثل ، تم قطع مزوّد آخر مزعوم لمزود خدمة الإنترنت - المعروف باسم Atrivo أو Intercage - من قبل مزودي خدمات المنبع في سبتمبر نتيجة الضغط المتصاعد من مجتمع أمان الكمبيوتر.

"مع وقال Toralv Dirro ، الخبير الاستراتيجى الأمنى فى شركة Avert Labs التابعة لشركة McAfee ، أن الحالات الأخيرة لمكولو و Atrivo / Intercage مأخوذة من الإنترنت ، سيكون من الأسهل في المستقبل أن تضع مزيدا من الضغوط على مضيفين آخرين من البرمجيات الخبيثة لاتخاذ إجراءات أو العمل دون اتصال. Thurday.