De High Tech Crime Unit van de KLPD heeft in een gecoördineerde actie met Amerikaanse opsporingsambtenaren een aantal commando- en controleservers van spambotnetwerk Rustock opgerold. Dat blijkt uit een weblog van Microsoft.
'Microsoft werkte samen met de Nederlandse High Tech Crime Unit binnen de Nederlandse politiemacht om delen van de commandostructuur (van Rustock) te ontmantelen voor het functioneren van het botnet buiten de Verenigde Staten', meldt het bedrijf in een blog.
Het is onbekend om welke Nederlandse hostingpartij(-en) het gaat. De KLPD heeft de actie niet bekend gemaakt. Een woordvoerder van de High Tech Crime Unit van de KLPD meldt 'geen uitspraken te kunnen doen over de Nederlandse tak van een Amerikaans onderzoek': 'Dat doen wij nooit.'
Rustock
Het Rustock-botnet verspreidde dagelijks miljarden spammails vanaf geïnfecteerde computers. Behalve bij Nederlandse hosting providers werden ook bij vijf Amerikaanse hosting providers commandoservers neergehaald.
De ip-nummers van de servers konden worden achterhaald met de hulp van de internetproviders waarbinnen de spambots zich bevonden. Microsoft meldt dat de volgende stap is om, in samenwerking met internet providers en Community Emergency Response Teams (CERT's), overal ter wereld, computereigenaars te bewegen hun geïnfecteerde computers op te schonen. Het bedrijf schat dat er wereldwijd ongeveer één miljoen computers besmet zijn door Rustock. Daarnaast worden de neergehaalde servers bestudeerd om de specifieke besturing van het botnet verder te ontrafelen.
De beheerders van het botnet-netwerk zijn door Microsoft en farmaceutisch bedrijf Pfizer aangeklaagd, wegens misbruik van merknamen binnen spamberichten.
MARS
Het neerhalen van Rustock is volgens Microsoft het tweede succes van Project MARS (Microsoft Active Response for Security). Dat is een samenwerking tussen de Microsoft Digital Crimes Unit (DCU), het Microsoft Malware Protection Center en het Trustworthy Computing-programma. Begin 2010 werden binnen MARS de controle servers van het Waledac-botnet neergehaald.
Volgens Microsoft was Rustock echter veel moeilijker neer te halen dan Waledac. Dat kwam volgens Microsoft onder meer doordat Rustock de bots in het netwerk controleerde vanaf hardgecodeerde IP-adressen. Waledac deed dat anders: die voerde het bewind vanaf wisselende domeinnamen, controleservers en via p2p2 (peer to peer)-communicatie tussen geïnfecteerde computers.
Update 13:30
Een woordvoerder van de KLPD heeft inmiddels bevestigd dat de actie heeft plaatsgevonden, maar wil geen verdere details geven.
Hulde aan het HTCU!