– 10.000 norske pc-er kapret

Botnettet lar seg ikke stoppe, advarer Secode.

MELDTE SEG INN I BOTNETT: Tore Terjesen leder Secode sitt overvåkingssenter utenfor Arendal.
MELDTE SEG INN I BOTNETT: Tore Terjesen leder Secode sitt overvåkingssenter utenfor Arendal. Bilde: Marius Jørgenrud
29. apr. 2013 - 07:40

Det skandinaviske IT-sikkerhetsselskapet Secode har oppdaget et urovekkende antall infiserte pc-er i Norge, kapret av Windows-trojaneren ZeroAccess.

Kriminelle har skaffet seg full kontroll med datamaskinene, styrt via et såkalt botnett. Ved å misbruke datakraften tjener ukjente bakmenn seg søkkrike.

Så mange som 10.000 norske pc-er er smittet av skadevaren, anslår Tore Terjesen i Secode.

Ifølge ham blir maskinene utnyttet til å utvinne bitcoin og bedrive klikksvindel, altså digital vinningskriminalitet, som regel uten at ofrene merker noe.

Eksperten leder Secodes overvåkingsentre i Arendal og Gøteborg, der de tilbyr driftede IT-sikkerhetstjenester med døgnvakt. Selskapet oppgir å ha en tredel av alle børsnoterte selskaper i Norge og Sverige på kundelisten.

Lot seg smitte

Etter en hendelse hos en av kundene, gikk selskapet igang med å analysere skadevaren for å forbedre sin deteksjonsevne.

På laben meldte de seg bevisst inn i botnettet for å kartlegge hvordan det fungerer. Slik fikk de innblikk i utbredelsen i Norge.

– Det som er spennende og spesielt er at dette er ett av bare 4-5 kjente peer-to-peer-kontrollerte botnett. ZeroAccess består av flere millioner infiserte datamaskiner verden over, sier Terjesen.

Vanskelig å stanse

ZeroAccess er ingen ny trussel. Skadevaren ble oppdaget allerede i 2009, fortsetter Terjesen, som mener det er omtrent umulig å stanse botnettet.

– Totalt har vi funnet 700.000 pc-er i verden som fungerer som kontrollnoder i nettverket. Alle snakker med alle. Det finnes ingen sentral kommandoserver. Det gjør at man ikke klarer å ta ned dette botnettet. Så det lever videre, da. Utrolig nok, år etter år, sier han.

De såkalte kontrollnodene er likevel bare en del av totalen. Dette er maskiner helt uten brannmur, som lar seg kontakte direkte over internett.

Seddelpresse

Skadevaren er trolig en av de mest innbringende botnett i verden. Det er snakk om enorme beløp. De kriminelle bakmennene soper inn over 100.000 dollar hver dag på denne virksomheten, ifølge IT-sikkerhetsselskapet Sophos.

Med full kontroll med ofrenes maskiner, er det i praksis lett å endre operasjonen, vekk fra bitcoin-mining og over til annen virksomhet, hvis det skulle friste.

– De kan ombestemme seg og begynne å stjele kredittkortdata eller begå industrispionasje. Bakmennene gjør vel det de tjener mest penger på, med minst mulig risiko, sier Terjesen.

Spørsmålene du bør stille deg

ZeroAccess skiller seg ikke spesielt fra annen skadevare når det gjelder angrepsvektor, altså hvordan den smitter datamaskinen.

En av metodene er infeksjon via sårbarheter i nettleser eller nettleserutvidelser, der man uten å merke kan bli rammet bare ved å besøke en hacket nettside, inkludert høyst troverdige nettjenester og nettavisers annonsesystemer, slik Teknisk Ukeblad eksponerte sine lesere for skadevare i fjor.

– Det hjelper å ha de siste oppdateringene til PDF, Java, Flash og så videre, da slipper du unna det meste. Men når det er sagt har det vært flere tilfeller av nulldagssårbarheter i det siste. Da har man ingen beskyttelse.

Fra bedrifters ståsted er lurt å være kritisk til hvilken programvare man tillater. Trenger man virkelig Flash? Er det nødvendig med Java installert på klientene?

– Vi har store sikkerhetsbevisste kunder, der noen bevisst kjører en hardere linje og har tatt bort disse programmene. Det gjelder å ha en risikobasert tilnærming til sikkerhet i bedriften, sier Tore Terjesen.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.