Uhapšen haker iz Jermenije zbog bot mreže Bredolab

Sajber hronika, 27.10.2010, 00:39 AM

Jermenske vlasti uhapsile su u utorak 27-ogodišnjeg muškarca pod sumnjom da je bio organizator velike bot (zombi) mreže koja je demontirana u ponedeljak zajedničkom akcijom holandskih vlasti i kompjuterskih stručnjaka. Holandske vlasti su izjavile da su zaplenile desetine servera koji su bili u funkciji kontrole bot mreže Bredolab, za koju se procenjuje da je zarazila milione kompjutera širom sveta.

Bredolab je vrsta malicioznog programa koji krade podatke potrebne za prijavljivanje na naloge, beleži kucanje na tastaturi, i krade sve ostale podatke sa zaraženog računara. Prema saopštenju kojeg su dobili mediji u ponedeljak, holandski ekspertski tim za visokotehnološki kriminal, koji je deo Nacionalne jedinice za borbu protiv kriminala, počela je istragu bot mreže tokom leta.

Bredolab bot mreža bila je osposobljena da zarazi 3 miliona računara mesečno. Krajem prošle godine, ova mreža je slala 3,6 miliona spam email poruka dnevno, u čijem je sastavu bio maliciozni program Bredolab.

Tim za visokotehnološki kriminal je isključio i stavio pod svoju kontrolu 143 servera koji su bili deo mreže najvećeg hosting provajdera u Holandiji, kompanije LeaseWeb, a koji su unajmljeni preko jednog od prodavaca provajdera LeaseWeb. U akciji su osim ovog tima, učestvovali holandski Institut za forenziku, kompjuterski tim za reagovanje u vanrednim situacijama i proizvođač antivirusnog softvera Fox IT.

Uhapšenom Jermencu se na teret stavlja da je rentirao kompjutere zaražene Bredolab malware-om drugim učesnicima u lancu koji su se nalazili u drugim zemljama.

Primera radi, neko iz Španije je mogao da iznajmi 100000 kompjutera zaraženih malicioznim programom Bredolab, potom da na njih postavi sopstveni maliciozni program, kao što je Trojanac Zeus koji ima funkciju u krađi bankovnih naloga.

Jermenac je formirao ogromnu bot mrežu, koja je u jednom trenutku imala više od 29 miliona zaraženih računara širom sveta pod svojom kontrolom, uključujući i one u Italiji, Španiji, Južnoj Africi, SAD i Velikoj Britaniji.

Želeći da izbegnu situaciju da bot mreža bude prebačena na drugu infrastrukturu, holandski tim je koristio oprobanu taktiku preuzimanja kontrole nad računarima zaraženim Bredolab-om i njihovim upućivanjem na servere koji nisu pod kontolom vođe operacije iz Jermenije. Tako su napravili “dobru” bot mrežu koja je kontrolisala zaražene računare koji su bili pod kontolom Bredolab zombi mreže.

Akcija je započela u ponedeljak, a korisnici čiji su računari bili zaraženi Bredolab malware-om prilikom otvaranja browser-a bili su preusmeravani na web sajt koji je postavio holandski tim. Na web stranici na koju bi korisnik dospeo nalazilo se obaveštenje na engleskom da je računar zaražen i uputstvo kako da korisnik ukloni Bredolab.

Do sada je oko 100000 korisnika zaraženih računara videlo ovo obaveštenje. Međutim, s obzirom da je infekcija kompjutera bilo kakvom bot mrežom, “dobrom” ili lošom protivzakonita u mnogim zemljama, ovaj potez holandskih vlasti je veoma hrabar. Na stranici sa obaveštenjem nalazi se i link za pritužbe, i do sada je 55 korisnika popunilo obrazac za žalbu.

Kada je osumnjičeni jermenski haker, ili neko drugi pod čijom je kontrolom bot mreža Bredolab, primetio da mrežu preuzima neko drugi, pokrenuo je 'denial-of-service' (vidi u Rečniku: denial-of-service) napad na infrastrukturu koju su koristili holanski istražitelji. Ne samo da time nije uspeo da poremeti preuzimanje bot mreže, nego je malo verovatno da je uopšte znao da iza preuzimanja stoji policija.