باتنت روستاک؛ روزانه بیش از ۳۰ میلیارد هرزنامه ارسال میکرد
باتنت روستاک (Rustock )٬ که روزانه بیش از ۳۰ میلیارد هرزنامه ارسال میکرد٬ احتمالا تنها توسط دو یا سه نفر اداره میشد.
پس از حملاتی که به از کار انداختن این شبکه هرزنامه منجر شد٬ تحلیلهای اولیه نشان میدهد که احتمالا این سیستم توسط یک تیم کوچک اداره میشد.
روستاک از حدود یک میلیون کامپیوتر تحت کنترل درآمده تشکیل میشد و با استفاده از ترفندهایی٬ سالها از شناسایی شدن خود جلوگیری میکرد.
از زمانی که حملاتی به سختافزارهای این شبکه انجام شد٬ میزان ارسال هرزنامههای جهان به شدت کاهش پیدا کرد و به سطح نسبتا پایینی رسید.
الکس لانستین٬ مهندس ارشد شرکت امنیتی فایرآی (FireEye) که در تحقیقات درباره روستاک حضور داشته٬ میگوید: «به نظر نمیرسد که بیش از چند نفر در اداره این سیستم نقش داشته باشند».
ارزیابی آقای لانستین به این دلیل است که او چندین سال مشغول فعالیت برای از کار انداختن روستاک بود و به همین دلیل با این سیستم آشنایی دارد.
به گفته وی ویژگی کدهای بدافزار روستاک و نحوه اداره این شبکه عظیم نشان میدهد که روستاک را یک تیم کوچک اداره میکردند.
تیمی متشکل از فایرآی٬ مایکروسافت٬ Pfizer و چند شرکت دیگر در تاریخ ۱۶ مارس به صورت همزمان به مراکز دادهای در هفت شهر آمریکا حمله کرده و ۹۶ سرویسدهنده (سرور) را٬ که از آنها به عنوان مرکز فرماندهی و کنترل سیستم روستاک استفاده میشد٬ به کنترل خود درآوردند.
به گفته آقای لانستین٬ هارددیسکهای این سرویسدهنده ها به یک شرکت حقوقی فرستاده شده تا سرنخهایی استخراج شود که بتوان از طریق آنها کنترلکنندگان شبکه را شناسایی کرد.
فرضیه آقای لانستین مبنی بر اینکه یک تیم کوچک اداره روستاک را برعهده داشتند تا حدی به این دلیل است که نحوه فعالیت روستاک با سایر شبکههای ارسال هرزنامه نظیر زئوس (Zeus) تفاوت دارد.
آقای لانستین میگوید شبکه زئوس برپایه تقسیم وظایف کار میکند و گروهها و تبهکاران مجازی زیادی در اداره آن نقش دارند.
در مقابل٬ روستاک اگرچه شبکه عظیمی بود اما به دقت کنترل میشد که البته همچون هر کسب و کار تحت وب دیگری دردسرهای مدیریتی خاص خودش را داشت.
وی میگوید: «آنها برای مدیریت شبکه خود و ارسال فایلهای به روزرسانی به یک میلیون کامپیوتر تحت کنترل با مشکلات عدیدهای مواجه بودند».
به گفته او٬ روستاک به دلیل روش هوشمندانهای که در پیش گرفته بود سالها موفق شد از نابودی خود جلوگیری کند. قربانیان این باتنت هنگام بازدید از وبسایتهایی که تبلیغات یا لینکهای آلوده داشتند به دام میافتادند.
هنگامی که کامپیوتری تحت کنترل درمیآمد٬ فایلهای به روزرسانی به طور مداوم از طریق یک سیستم رمزگذاری که توسط سازندگان روستاک طراحی شده بود به آن ارسال میشد. این فایلها حاوی موتور ارسال هرزنامه بودند که میلیاردها تبلیغ به نفع شرکتهای داروسازی تقلبی ارسال میکرد.
علاوه بر این٬ فایلهای به روزرسانی روستاک شبیه به کامنتهایی در انجمنهای گفتگو بودند که باعث میشد شناسایی آنها توسط نرمافزارهای امنیتی که معمولاً به دنبال نشانههای شناختهشده بدافزارها میگردند دشوار باشد.
همچنین٬ سرویسدهندههایی که روستاک را کنترل میکردند به جای آنکه در خارج از آمریکا قرار داشته باشند٬ در مراکز میزبانی داخل این کشور واقع شده بودند.
آقای لانستین میگوید: «آنها همه سرویسدهندههای کنترلکننده را در مرکز آمریکا قرار داده بودند و نه در کلانشهرها که این مسئله موجب شده بود خارج از دیدرس باقی بمانند».
به گفته او٬ هزینه نگهداری سیستمهای کنترل بالغ بر ۱۰ هزار دلار (۶۲۱۱ پوند) در ماه میشد.
به گفته آقای لانستین٬ دشوار است که بتوان میزان درآمد صاحبان روستاک را تخمین زد اما احتمالا مبلغ کلانی بوده است.
آن طور که پیدا است از زمان حمله تا کنون٬ کنترلکنندگان روستاک برای بازپسگیری کنترل خود بر سیستم تلاشی نکردهاند. آقای لانستین میگوید اقدامات فنی انجام شده توسط مایکروسافت٬ هرگونه تلاش برای پس گرفتن روستاک در آینده را محدود میسازد اما وی شک دارد که آنها حتی تلاشی برای این کار انجام دهند.
وی میگوید: «اگر برنامهنویسی باشید که بفهمید تمام تلاشهای بخش حقوقی مایکروسافت علیه شما معطوف داشته شده است٬ آنگاه با خود میگویید که بهتر است چیز دیگری را امتحان کنید».
منبع: bbc