Det amerikanske justisdepartementet kunngjorde i går at det sammen med blant annet FBI har gjort tiltak for å knuse det omfattende botnettet Kelihos. Botnettet skal ha blitt brukt til å samle inn innloggingsinformasjon, distribusjon av enorme mengder uønsket epost, samt til installasjon av skadevare, inkludert utpressingsvare.
For å unngå ytterligere spredning av botnettet, skal FBI sist lørdag sørget for å få overta domenenavn som er assosiert med botnettet. Disse peker nå til en server som kontrolleres av amerikanske justismyndigheter, som vil samle inn IP-adressene til datamaskinene som forsøker å få kontakt med serveren. De fleste av disse vil trolig være zombier i botnettet.
Hensikten er å kunne tilby disse IP-adressene til parter, for eksempel internettleverandører, som kan hjelpe ofrene med å fjerne skadevaren.
Leste du denne? 28-åringen jobbet som utvikler på østlandet da politiet hentet ham. Nå kan han vente seg flere år bak murene i USA
Arrestert
Palmesøndag ble det kjent at Pyotr Levashov, også omtalt som blant annet Peter Yuryevich Levashov eller «Severa», var blitt arrestert i Barcelona, etter alt å dømme litt tidligere i forrige uke. Ifølge Ars Technica skal russiske Levashov ha vært der på ferie med sin familie. Arrestasjonen skal ha skjedd i Spania fordi USA ikke har noen utleveringsavtale med Russland.
Levashov var globalt ettersøkt og står på Spamhaus-listen over verdens ti verste spammere. Men det antas at han skal også skal ha drevet Kelihos-botnettet siden 2010.
Omfattende etterforskning
Noe av det som knytter Levashov til botnettet, er IP-adresser i botnettet som har blitt brukt til å aksessere en rekke brukerkontoer som alle til en viss grad kan knyttes til Levashov. Dette går fram av ransakingsordren.
Blant annet skal en server i botnettet ha blitt brukt flere tusen ganger til pålogging på mail.ru-nettstedet med brukeren pete777@mail.ru.
Epostadressen skal blant annet ha blitt brukt i forbindelse med en Foursquare-konto for en bruker som kaller seg Petr Levashov.
Datamaskiner med andre IP-adresser som har blitt assosiert med botnettet, skal også ha blitt brukt til å registrere epostkontoen peteknyazev777@gmail.com hos Google og til å bestille et digitalt sertifikat hos GeoTrust.
Det blir også nevnt flere andre, lignende tilfeller.
Google og Apple
Under aksessering av flere av disse kontoene skal det ha blitt brukt overlappende IP-adresser.
I oppføringer i Googles logger har man kunnet se at en bruker innlogget med den nevnte Gmail-adressen har søkt etter uttrykk som «kelihos» og «kelihos.f».
Man skal også ha kunnet se at et mobilnummer assosiert med Google-kontoen var det Levashovs mobilnummer, noe man kunne se av oppføringer hos Apple.
Det amerikanske justisdepartementet opplyser at det har fått uvurderlig, teknisk hjelp i denne saken fra sikkerhetsselskapet CrowdStrike og den frivillige organisasjonen The Shadowserver Foundation.
Det er for øvrig verdt å merke seg at det er Criminal Division i Det amerikanske justisdepartementet som står bak arresten, ikke divisjonen for nasjonal sikkerhet, som ifølge Reuters har ansvaret for etterforskning av statssponset kyberkriminalitet.
Les også: Boligblokker uten sentralvarme i en uke på grunn av DDoS-angrep