FBI pojmało twórcę botnetu Windigo

Dzięki współpracy firmy ESET z amerykańskim Federalnym Biurem Śledczym udało się zidentyfikować i aresztować jednego z twórców botnetu o nazwie Windigo. O tym, jak duży był wspomniany botnet może świadczyć fakt, że do momentu wykrycia w 2014 roku Windigo był odpowiedzialny za wysyłkę ponad 35 milionów wiadomości spamowych dziennie! Czy po ujęciu twórcy, Windigo nadal jest groźny?

Przypomnijmy, że botnet Windigo zaczął działać w 2011 roku. Przez prawie 3 lata pozostawał niewykryty. W marcu 2014 roku zidentyfikowali go eksperci z firmy ESET. Udało im się wówczas ustalić, że za sprawą wielu specjalnie zaprojektowanych zagrożeń komputerowych, zostało zainfekowanych kilkadziesiąt tysięcy serwerów na całym świecie. Windigo przekierowywał użytkowników serwerów na niechciane lub złośliwe treści (w zależności od systemu operacyjnego), serwując: złośliwe oprogramowanie dla komputerów z systemem Windows, reklamy stron randkowych dla użytkowników macOS oraz treści pornograficzne dla użytkowników iPhone. Ten sam botnet odpowiadał również za wysyłkę 35 milionów wiadomości spamowych dziennie!

Reklama

Firma ESET, przy współpracy z międzynarodowymi organizacjami, m.in. CERT, czy CERN, opisała funkcjonowanie botnetu w raporcie pt. „Operacja Windigo”. Pomoc inżynierów z ESET okazała się nieoceniona także dla ostatnich działań FBI. Firma dostarczyła agencji wielu cennych informacji m.in. na temat złośliwej działalności botnetu i jego komponentów. W efekcie agenci FBI rozpoczęli monitoring dochodów generowanych przez fałszywe sieci reklamowe, co pomogło im zidentyfikować jedną osobę - Rosjanina, Maxima Senakha. Wskazana osoba, występując pod fikcyjnymi tożsamościami, zarządzała transakcjami pieniężnymi związanymi z nielegalną działalnością reklamową sieci Windigo. 

W sierpniu 2015 roku Rosjanin, na prośbę federalnych władz USA, został aresztowany na granicy w Finlandii. Rosyjska strona rządowa wówczas sprzeciwiła się procedurze aresztowania i ekstradycji z uwagi na to, że informacje dotyczące nielegalnej działalności Senakha nie zostały im przekazane. W tej sytuacji, Stany Zjednoczone złożyły wniosek o ekstradycję do fińskiego Ministerstwa Sprawiedliwości, które przychyliło się do prośby. Wydanie Senakha było kwestią czasu, bowiem od decyzji Finów nie było możliwości odwołania. 

Cyberprzestępca został wydany USA w lutym 2016 r. Senakh pierwotnie nie przyznał się do winy. Oznaczało to, że obie strony musiały przygotować się do procesu. ESET został poproszony o delegację świadków, którzy w sposób fachowy złożyliby zeznania wyjaśniające działanie botnetu Windigo. Rok po tej sytuacji, Senakh ogłosił sądowi, że przyzna się do postawionych zarzutów, w zamian za obniżenie wyroku. Proces nie był już potrzebny. W sierpniu br. cyberprzestępca został skazany na 46 miesięcy więzienia federalnego w stanie Minnesota.

Czy botnet Windigo jest nadal aktywny i groźny?

Niedługo po aresztowaniu Senakha, badacz bezpieczeństwa z Rackspace zauważył znaczny spadek ruchu przekierowywanego przez zagrożenie Cdorked – złośliwy komponent wykorzystany w ramach operacji Windigo. W opinii inżynierów z ESET, zmniejszenie aktywności botnetu nie oznacza jednak jego przejścia w fazę spoczynku. Eksperci odnotowują nowe warianty zagrożenia Win32/Glupteba ściśle powiązanego z operacją Windigo. Właśnie ten komponent botnetu działa jako otwarty serwer proxy, a więc serwer pośredniczący, przez który z zainfekowanymi komputerami łączą się atakujący, co czyni trudniejszym ich namierzenie. Może to świadczyć o tym, że Windigo za jakiś czas zostanie reaktywowany.


INTERIA.PL/informacje prasowe

Reklama

Najlepsze tematy

Reklama

Strona główna INTERIA.PL

Polecamy

Rekomendacje