Conficker-ormen stadig en trussel

Det globale samarbeidet mot ormen har stanset botnettet, men ikke smitten.

25. jan. 2011 - 11:16

I slutten av november 2008 startet en serie angrep med ondsinnet kode som fikk navnet Conficker, alias Downadup. Angrepet rammet millioner av pc-er og servere verden over gjennom en sårbarhet Microsoft for lengst hadde tettet, og skapte store problemet for bedrifter og organisasjoner, her i landet blant annet politiet, samt Helse Vest og Nord-Trøndelag fylkeskommune. Skadene på politiet ble seinere anslått til mellom 30 og 50 millioner kroner.

Angrepet utløste et uformelt internasjonalt samarbeid som etter hvert ble kjent under navnet Conficker Working Group, der sikkerhetseksperter samarbeidet med nettoperatører og domeneforvaltere. Blant medlemmene er AOL, Cisco, F-Secure, Facebook, Georgia Institute og Technology, Global Domains International, IBM-ISS, Icann, Internet Storm Center, Juniper, Kaspersky, McAfee, Microsoft, Sophos, Symantec, Trend Micro og Verisign.

Samarbeidet lyktes i å uskadeliggjøre botnettet på mange millioner pc-er som Conficker-ormen bygget opp gjennom flere mutasjoner, men ikke å fjerne smitten fra pc-ene som var gjort til zombier.

I 2009 stilte USAs departement for innenlands sikkerhet (Department of Homeland Security) midler til disposisjon for at samarbeidet skulle kunne oppsummere og publisere sine erfaringer. Dokumentet ble publisert i går: Conficker Working Group: Lessons Learned (pdf, 59 sider).

Hensikten med dokumentet er å bidra til mer effektivt internasjonalt samarbeid mot angrep med ondsinnet kode. Det skal også bidra til å effektivisere USAs kyberforsvar.

Rapporten peker på hvor alvorlig Conficker var, og understreker at ormen fortsatt utgjør en trussel. Ekspertene var enige om at ormen utgjorde en potensiell trussel også mot kritisk infrastruktur.

Den organiserte kampen gikk først og fremst ut på å hindre elementene bak Conficker fra å oppdatere de smittede datamaskinene med ny kode eller kommandoer, slik at botnettet i praksis ikke kunne brukes. De måtte følgelig ligge i forkant av ormens oppdateringsmekanisme, som kringkastet oppdateringer til 250 tilfeldig valgte domener per dag, hentet fra åtte ulike toppnivådomener.

– Trass i visse feil, var denne innsatsen svært vellykket, heter det i rapporten.

En åpenbar svakhet i dette arbeidet ble klart da variant «C» av Conficker ble sluppet i februar 2009, og nådde ut til nesten en million pc-er som var smittet av variantene «B» og «A».

Elementene bak Conficker hadde åpenbart merket seg hvordan de ble motarbeidet av den internasjonale arbeidsgruppen: Oppdateringsmekanismen var endret til 50.000 tilfeldig valgte domener per dag.

I rapporten fortelles det hvordan arbeidsgruppen brukte tre uker på å koordinere tiltak i 100 land for å blokkere disse domenene.

Det heter i rapporten at dette arbeidet var en «imponerende suksess», og at arbeidsgruppen igjen greide å hindre Conficker-ormens opphav fra å kontrollere botnettet. Dette arbeidet føres videre, og det oppsummeres at man har fått på plass rutiner som gjør det enklere å realisere til tilsvarende samarbeid mot framtidige trusler.

Samtidig oppsummeres arbeidsgruppens største nederlag: Trusselen fra Conficker er ikke over, fordi mange millioner pc-er fortsatt er smittet av ormen.

Det er tydelig at det har vært strid innad i arbeidsgruppen rundt dette punktet. Det oppsummeres i rapporten at noen medlemmer fra starten av hadde anbefalt større fokus på å fjerne selve smitten, mens andre har ment at det ikke var et realistisk mål.

Rapporten inneholder flere anbefalinger for internasjonal bekjempelse av ondsinnet kode.

De viktigste gjelder strategi: Det må fokuseres på det helhetlige trusselbildet, og det må utarbeides en plan for å møte dette, framfor å bekjempe enkeltormer etter hvert som disse dukker opp. Samarbeidsorganer må forsone seg med at innsatsen vil være langvarig, slik at man unngår utbrenthet i kampens hete. Det globale kyberforsvaret må utvides og utstyres med større kompetanse og bedre samband seg i mellom. Det sikres gjennom en effektiv internasjonal finansieringsmodell.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.