Microsoft lidera esforço para derrubar pior botnet do mundo de spamming.
Durante mais de 24 horas, esta semana, foi uma pergunta a que muito poucos especialistas em segurança souberam responder: quem conseguiu desligar a pior botnet de spam?
Após infectar cerca de um milhão de computadores e lançar cerca de 30 mil milhões de mensagens de e-mails indesejados por dia, a botnet Rustock ficou em silêncio esta quarta-feira.
Sabe-se agora o motivo: um pequeno grupo de investigadores informáticos, suportados pelos advogados da Microsoft, Marshals dos EUA e agentes policiais de agências internacionais executou uma série de ataques cirúrgicos na botnet. Acertarem-lhe como se fosse a mítica Hidra, eles cortaram as cabeças da Rustock – os seus servidores de comando e controlo – e chamuscaram-nas para evitar que voltasse a crescer. E, agora, a Microsoft está a ajudar a limpar os computadores infectados antes que os proprietários da Rustock consigam recuperar o controlo da sua botnet.
Com mandados de busca, e os Marshals a apoiá-las, os advogados da Microsoft foram a cinco fornecedores de armazenamento em cidades norte-americanas como Kansas City, Scranton, Denver, Dallas e Chicago na quarta-feira e, “com sucesso, afectaram os endereços IP que controlavam a botnet, cortando a comunicação e desativndo-a”, disse a Microsoft num seu blogue.
A Rustock é uma peça desagradável de software. Dá aos criminosos o controlo de uma máquina infectada para enviar spam, atacar outro computador, ou espiar a vítima. É instalado ao enganar a vítima para visitar um site mal-intencionado ou ao abrir um anexo especialmente codificado no e-mail – e é muito difícil de detectar e de remover.
A botnet é conhecida por mandar spam farmacêutico e a sua morte deve diminuir o volume do spam global, que baixou desde que outras duas grandes redes de botnets de spam, Pushdo e Bredolab, foram desligadas no final do ano passado.
Com a queda da Rustock – a primeira de várias que estão a ser preparadas – a comunidade da Internet aperfeiçoou uma técnica para se livrar do complexo de redes globais de computadores maliciosos, diz Barry Greene, presidente do Internet Software Consortium, criadores do software BIND Domain Name System (DNS). Tudo começou há alguns meses, com um grande grupo de investigadores da Internet a observar a Rustock e a desenvolver técnicas para a destruir. De seguida, um grupo mais restrito, de confiança, ficou com a tarefa de gerir o desmantelamento com as forças de autoridade.
Neste caso, a acção foi liderada pela Microsoft, com a ajuda da empresa de segurança FireEye, da Universidade de Washington, da farmacêutica Pfizer e da polícia holandesa. Em vez de usar o sistema de justiça criminal, a Microsoft apresentou acções civis contra os operadores anónimos da Rustock e conseguiu ordens judiciais que lhe permitiu vasculhar os servidores usados para controlar a botnet, enquanto a polícia holandesa ajudou a encerrar os servidores fora dos EUA
A Microsoft trabalhou com os tribunais civis e os investigadores há um ano atrás para derrubar uma outra botnet, a Waledac, mas a Rustock era muito mais complexa, envolvendo não só a apreensão de muitos servidores como também um trabalho complicado ao nível do DNS.
Como as máquinas infectadas da Rustock têm um plano B para se ligarem aos seus controladores em domínios específicos da Internet, quando o comando regular e os servidores de controlo estão offline, a Microsoft teve também que trabalhar com as autoridades chinesas para impedir que os operadores da Rustock pudessem criar novos domínios.
A Rustock usa também um algoritmo engenhoso para gerar os nomes dos sites a que tenta ligar-se com as novas instruções, sempre que os seus servidores regulares de comando e controlo estão offline. Os computadores infectados vão para pré-determinados sites com notícias do dia – o Slashdot, por exemplo – e geram um número especial de “sementes” (seed) baseado no que encontram na página. Esse número “semente” é então cifrado, dando aos criminosos o domínio a que a Rustock se vai tentar ligar. Isto tornava impossível adivinhar os nomes de domínio com antecedência. A Microsoft parece estar a conseguir bloquear o registo desses novos domínios, por enquanto, mas um deslize, e os criadores da Rustock podem regressar.
A Rustock está a “ser suprimida, não é realmente ser deitada abaixo”, refere Joe Stewart, investigador da unidade SecureWorks da Dell . “Se pararem de monitorizar esses domínios, ela pode estar de volta dentro de algumas horas”.
E isso é uma preocupação real, porque o criador da Rustock – um hacker conhecido apenas pelo seu pseudónimo online PE386 – ainda está em fuga. Isso significa que ele e os seus associados vão provavelmente regressar, diz Thorsten Holz, professor assistente na universidade alemã de Ruhr, em Bochum. “Enquanto os atacantes estiverem à solta, é apenas algum tipo de Whack-a-Mole” [jogo para bater em figuras que estão sempre a re-aparecer], refere. “Espero que, neste caso, se vão seguir algumas detenções”.
Os investigadores passaram meses a investigar minuciosamente a botnet mas, embora possam pensar que sabem como funciona, a sua paragem completa é uma viagem em águas desconhecidas. “Estamos todos a dizer onde está a recuperação?”, diz Greene. “Vão eles tentar e recuperar o seu controlo? É como esmagar átomos. Faz-se isso de modo muito primitivo: esmaga-se o átomo e, de seguida, presta-se atenção aos efeitos posteriores”.