Het neerhalen van het Coreflood-botnet door de FBI heeft geresulteerd in een dramatische terugval in de omvang van het botnet. Dat meldt de FBI in een rechtbankverklaring. De organisatie meldt bovendien met de bestrijding van het botnet te stoppen, omdat dit niet langer nodig zou zijn. De beschikbare bronnen kunnen beter bij ander onderzoek worden ingezet, aldus de FBI.
Als gevolg van de FBI-actie daalde het aantal besmette computers in de Verenigde Staten tussen april en juni van ongeveer 800.000 naar een aantal ruim onder de 50.000.
In slaap gesust
De innovatieve aanpak waarmee de organisatie het botnet bestreed, kreeg veel lof. In april kreeg de FBI toestemming om 29 domeinnamen, waarvandaan het botnet werd aangestuurd, uit de lucht te halen. Vervolgens werd al het verkeer naar deze domeinnamen omgeleid naar een een eigen commando- en controle-infrastructuur, die de FBI in de lucht had gebracht met de hulp van Internet Systems Consortium (ISC). ISC verwijderde de Coreflood-malware niet van geïnfecteerde pc's, want dat mag niet zonder toestemming van de gebruiker, maar vertelde de pc bij elke reboot om de Coreflood-software af te sluiten. Daardoor werd de malware in slaap gesust en kon geen schade aanrichten.
Daarnaast verzamelden de commando- en controleservers van ISC de ip-adressen van geïnfecteerde machines. Deze informatie gaven ze door aan de betrokken providers, die hierdoor in staat werden gesteld hun klanten te informeren. In tandem hiermee verwijderde Microsoft via de Malicious Software Removal Tool de malware van geïnfecteerde Windows-machines.
Actie stopgezet
De FBI meldt nu met de bestrijding van het botnet te stoppen, omdat dit niet langer nodig zou zijn. Ook al worden de bots in het netwerk weer wakker, de oorspronkelijke beheerders van het botnet zijn de 29 domeinnamen, waarvandaan ze het botnet controleerden, kwijt. Daardoor verwacht de FBI dat deze criminelen niet opnieuw de controle over het botnet zullen krijgen.
De operatie kost veel capaciteit, zo meldt de FBI. 'De beschikbare bronnen kunnen beter bij ander rechtshandhavend onderzoek worden ingezet', aldus de rechtbankverklaring.
Coreflood
Coreflood dook voor het eerst op in 2003 in de vorm van een trojan, dat regelmatig updates ontving om anti-malware software te slim af te zijn. Vanaf 2009 transformeerde het tot een botnet en infecteerde zo'n twee miljoen computers wereldwijd. Coreflood was verre van onschuldig: het verzamelde financiële informatie op geïnfecteerde machines en verzond dit naar de commando- en controleservers van het botnet.
