עם מאמץ גלובלי, סוג חדש של תולעת הוא איטי

היו התפרצויות גדולות של תולעת מחשב לפני, אבל שום דבר לא בדיוק כמו Conficker.

הראשון הבחין בחודש נובמבר, התולעת היה מיד נגוע יותר מחשבים מכל תולעת בשנים האחרונות. לפי כמה הערכות הוא מותקן כעת על יותר מ -10 מיליון מחשבים אישיים. אבל מאז הופעתו הראשונה, זה היה שקט מוזר. Conficker מדביק מחשבים ומתפשט ברשתות, אבל הוא לא עושה שום דבר אחר. זה יכול לשמש כדי להפעיל סייבראטק מסיבי, crippling כמעט כל שרת באינטרנט, או שזה יכול להיות מושכר החוצה שולחי דואר זבל על מנת לשאוב מיליארדים על מיליארדי הודעות דואר זבל. במקום זאת, היא יושבת שם, מנוע הרס עצום הממתין שמישהו יפעיל את המפתח. עד לאחרונה, חוקרי אבטחה רבים פשוט לא ידעו מה מצפה לרשת הקונפיקר. ביום חמישי, עם זאת, קואליציה בינלאומית חשפה כי הם נקטו בצעדים חסרי תקדים כדי למנוע את התולעת נפרד משרתי שליטה הפקודה שיכול לשלוט בו. הקבוצה מורכבת מחוקרי אבטחה, חברות טכנולוגיה, רשמים של שמות מתחם, אשר חברו יחד עם תאגיד האינטרנט לשמות ומספרים שהוקצו (ICANN), אשר מפקח על מערכת Domain Name System.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

החוקרים לקחו קוד Conficker של גילו כי הוא משתמש בטכניקה חדשה מסובכת כדי להתקשר הביתה לקבלת הוראות חדשות. כל יום, תולעת מייצר רשימה חדשה של כ 250 שמות דומיין אקראי כגון aklkanpbq.info. לאחר מכן הוא בודק את הדומיינים האלה לקבלת הוראות חדשות, מאמת את החתימה הקריפטוגרפית שלהם כדי לוודא שהם נוצרו על-ידי המחבר של Conficker.

כאשר הקוד של Conficker נסדק לראשונה, מומחי אבטחה חטפו חלק מן התחומים הללו שנוצרו באופן אקראי, ויצרו מה שמכונה " שרתים כדי לקבל נתונים ממכונות פרוצים ולבחון כיצד התולעת עבד. אבל ככל שהזיהום הפך נפוץ יותר, הם החלו לרשום את כל התחומים - קרוב ל -2,000 בשבוע - לקחת אותם מחוץ למחזור לפני פושעים היה chanc. אם הרעים ניסו פעם לרשום את אחד מתחומי השליטה והפיקוד האלה, הם היו מגלים שהם כבר נלקחו, על ידי קבוצה בדיונית שקראה לעצמה "קבלן הקונפיקר". הכתובת שלו? 1 Microsoft Way, רדמונד וושינגטון

זהו סוג חדש של משחק חתול ועכבר לחוקרים, אבל זה נבדק כמה פעמים במהלך החודשים האחרונים. בחודש נובמבר, למשל, קבוצה אחרת השתמשה בטכניקה כדי להשתלט על תחומים המשמשים את אחת מרשתות הבוטנט הגדולות בעולם, הידועה בשם סריזבי, ומנתקת אותה משרתי הפיקוד והבקרה שלה. עם אלפי תחומים, עם זאת, טקטיקה זו יכולה להיות זמן רב ויקר. אז עם Conficker, הקבוצה זיהתה ונעלה שמות באמצעות טכניקה חדשה, שנקראת רישום מראש של מנעול.

על ידי חלוקת העבודה של זיהוי ונעילת תחומים של Conficker, הקבוצה שמרה רק את התולעת בבדיקה, לא ספג את זה מכה אנושה, אמר אנדרה דימינו, מייסד שותף של קרן Shadowserver, קבוצת כלב השמירה באינטרנט. "זה באמת המאמץ המפתח הראשון ברמה הזאת שיש לו פוטנציאל לעשות הבדל מהותי", אמר. "אנחנו רוצים לחשוב שיש לנו השפעה כלשהי על זה crippling."

זוהי טריטוריה לא נודעת עבור ICANN, הקבוצה האחראית לניהול מערכת כתובת האינטרנט. בעבר, ה- ICANN כבר ביקר על היותו איטי להשתמש בכוחו לבטל הסמכה מ רשם שם תחום אשר שימשו באופן נרחב על ידי עבריינים. אבל הפעם זה מקבל שבחים על כללים מרגיעים שהקשו על נעילת תחומים ועל ההשתתפות של משתתפי הקבוצה. "במקרה זה הם משמנים את הגלגלים כך שהדברים ינועו במהירות", אומר דייויד אולביץ ', מייסד של OpenDNS. "אני חושב שהם צריכים להיות לשבח על זה … זה אחד הפעמים הראשונות כי יש באמת עשה משהו ICANN."

העובדה כי קבוצה כה מגוונת של ארגונים הם כולם עובדים יחד הוא מדהים, אמר ריק וסון, מנכ"ל ייעוץ אבטחה ברשת תמיכה המודיעין. "סין ואמריקה שיתפו פעולה כדי להביס פעילות זדונית בקנה מידה עולמי … זה דבר רציני, זה לא קרה", הוא אומר.

ICANN לא החזירה שיחות המבקשים תגובה לסיפור הזה ורבים מהמשתתפים במאמץ של Conficker, כולל מיקרוסופט, Verisign ומרכז המידע ברשת האינטרנט של סין (CNNIC) סירבו להתראיין לכתבה זו.

באופן פרטי, חלק מהמשתתפים אומרים שהם אינם רוצים למשוך תשומת לב למאמציהם האישיים כדי להילחם במה שעשוי להיות מאורגן קבוצת סייברקרים. אחרים אומרים שמאחר שהמאמץ כל כך חדש, עדיין מוקדם לדון בטקטיקות. "ללא קשר לסיפור המלא, ההימור גבוה באופן מובהק. Conficker כבר הבחין על רשתות ממשלתיות וצבאיות, והוא היה ארסי במיוחד בתוך הרשתות הארגוניות. החלקה אחת, ויוצריו של קוןפיקר יכלו לתכנת מחדש את הרשת שלהם, ולתת למחשבים אלגוריתם חדש שיהיה צורך לפצח ולתת להם הזדמנות להשתמש במחשבים אלה למטרות נלוזות. "אנחנו צריכים להיות מדויקים ב -100%", אמר וסון. "והקרב הוא קרב יומיומי."

(סאמנר לימון בסינגפור תרם לדו"ח זה.)