ISP estone taglia i server di controllo per Botnet Srizbi

Un ISP estone che ha temporaneamente ospitato i server di comando e controllo per la botnet di Srizbi, responsabile di gran parte dello spam del mondo, ha interrotto quei server, secondo gli analisti della sicurezza dei computer

Starline Web Services, con sede nella capitale estone Tallinn, aveva ospitato quattro nomi di dominio identificati come punti di controllo per Srizbi, secondo i ricercatori della società di sicurezza informatica FireEye.

Centinaia di migliaia di PC in tutto il mondo infettati da Srizbi, un rootkit difficile da rimuovere utilizzato per inviare spam, è stato programmato per cercare nuove istruzioni dai server in quei domini.

[Ulteriori informazioni: Come rimuovere malware dal tuo PC Windows]

Srizbi è consi derubato da una delle più potenti botnet, con almeno 450.000 PC infetti. Si stima che metà dello spam del mondo sia originato da computer infetti da Srizbi. Lo spam rimane un'attività redditizia per i criminali informatici.

Ma gli spammer hanno perso il controllo di Srizbi quando l'ISP che in precedenza ospitava i suoi server di comando e controllo era isolato da Internet. McColo, i cui server sono basati a San Jose, in California, è stato tagliato fuori dai suoi fornitori a monte all'inizio di questo mese dopo essere stato esposto da esperti di sicurezza informatica e dal Washington Post.

Ciò ha lasciato spammer incapaci di controllare i computer infettati da Srizbi. Ma il codice di Srizbi conteneva un meccanismo di fallback in cui gli spammer potevano riconnettersi con le macchine bloccate se si verificava uno scenario simile.

Un algoritmo all'interno di Srizbi generava periodicamente nuovi nomi di dominio in cui il malware cercava nuove istruzioni se quei domini erano in diretta su Internet. Armati di quello stesso algoritmo, gli spammer dovevano solo registrare i nomi di dominio appropriati e indirizzarli ai loro server.

Gli spammer, tuttavia, avevano bisogno di un nuovo ISP per ospitare quei server, almeno per un po '. Hanno trovato Starline Web Services, un ISP molto piccolo, ma da allora anche quel provider li ha tagliati.

"Ero soddisfatto che quei siti fossero chiusi", ha detto Hillar Aarelaid, capo della sicurezza per il Computer Emergency Response Team dell'Estonia (CERT), giovedì.

I tentativi di contattare i servizi Web Starline non hanno avuto esito positivo. Ma Aarelaid ha detto che il CERT è in contatto con la società, e sembra reagire alle denunce di abuso.

Starline Web Services compra la sua connettività da Compic, un'altra società estone. Compic è stato segnalato dal CERT dell'Estonia perché ha siti Web che ospitano software dannoso, ha affermato Tarmo Randel, un esperto di sicurezza delle informazioni presso l'organizzazione.

Randel ha detto che il CERT ha "costantemente" comunicato a Compic il malware che ha ospitato. Compic interverrà per rimuovere i siti in base a "quanto rumoroso urliamo", ha detto Randel. Compic di solito reagisce velocemente quando CERT invia una e-mail di reclamo - e copia la polizia criminale estone, ha detto Randel.

Giovedì il fornitore upstream di Compic, Linxtelecom, ha inviato una e-mail alla comunità ISP estone che ha affermato di essere Pianificazione per tagliare Compic, Randal ha detto.

Linxtelecom vende servizi di transito IP che collegano gli ISP locali e gli operatori di telecomunicazioni con più grandi supporti di dati. Linxtelecom ha detto nella e-mail che il 99% delle lamentele che riceve sugli abusi sono collegate a Compic, ha detto Randel.

Un funzionario di Linxtelecom ha detto di non sapere l'e-mail. Compic risponde ai reclami entro due giorni circa, ma Linxtelecom in passato ha tagliato la connettività ai siti Web ospitati da Compic dopo i reclami, ha detto il funzionario.

Gli esperti di sicurezza informatici dicono che ci sono una manciata di ISP e registrar di nomi di dominio che lavorare a stretto contatto con i criminali informatici per supportare le operazioni di spam, i siti Web che vendono software contraffatti e altre truffe.

Le operazioni sono difficili da fermare a causa della loro natura internazionale, della velocità con cui i criminali informatici reagiscono agli arresti e della mancanza di risorse o interessi di polizia.

La chiusura di McColo è avvenuta dopo la pubblicazione di una ricerca che mostrava fino a che punto la società era coinvolta

Allo stesso modo, un altro noto ISP malvagio - noto come Atrivo o Intercage - è stato tagliato fuori dai suoi fornitori a monte a settembre a seguito delle crescenti pressioni da parte della comunità della sicurezza informatica.

"Con il casi recenti di McColo e Atrivo / Intercage decollati da Internet, sarà più facile in futuro fare più pressione su altri noti host di badware per agire o andare offline ", ha dichiarato Toralv Dirro, stratega della sicurezza di McAfee Avert Labs, Thurday.