5000 danske maskiner ramt af “uovervindeligt” botnet
Et nyt botnet, der af eksperter betegnes som 'næsten uovervindeligt' har sikret sig fodfæste i Danmark. Botenettet går under betegnelsen TDL eller TDSS.
»I Danmark er der ca. 5000 maskiner, som er inficeret med TDSS. Den springer ud på vores botnet top-ti liste på en tredjeplads,« oplyser it-sikkerhedseksperten Peter Kruse fra CSIS til Version2.
Den nye type botnet beskytter sig på flere måder mod både at blive opdaget og for at kunne blive sat ud af spillet, som det ellers er lykkedes it-efterretningstjenester på det seneste.
Blandt andet bliver den skadelige kode installeret på harddiskens master boot record, der er det første computeren læser, hvilket gør det svært for både operativsystsmet og AV-produkter at få øje på skidtet.
En anden beskyttelse er den P2P-metode, som systemet anvender til at have kontakt med de såkaldte styringsservere - C&C-servere, der skal instruere botnettet i de forskellige angreb. TDL/TDSS anvender et P2P-net kaldet Kad P2P for den ene af de to kanaler, som nettet styrer de inficerede computere med.
»Mange af de moderne botnets er yderst komplekse at skyde ned. Dette - TDSS/TDL - er ganske rigtigt i en klasse for sig selv, da den indeholder talrige sikkerhedsventiler, så den altid kan genvinde fodfæste. TDSS-botnettet anvender bl.a. en egenudviklet udviklet P2P protokol eller transmissionsmodul, der i lighed med Conficker/Downadup gør brug af massevis af checks bl.a. for at sikre, at kommandoer rent faktisk kommer fra de personer eller it-kriminelle, som har udviklet og driver botnettet,« fortsætter Peter Kruse fra CSIS.
Blandt de beskyttelsesforanstaltninger som hackerne har anvendt, er også en krypteringsalgoritme, hvilket igen er med til at gøre det langt vanskeligere at få ram på hackerne eller deres servere.
På verdensplan vurderes det, at 4,5 millioner Windows-computere er inficeret, men det er ikke så meget det aktuelle antal, der bekymrer eksperterne, som det er muligheden for, at virus fortsat kan skjule sig og fortsætte med at sprede sig.
En anden overraskende feature ved TDL/TDSS er evnen til at fjerne anden malware fra brugerens maskine. Det sker ud fra devisen om, jo mindre brugeren er opmærksom på at være angrebet, jo mindre vil brugere gøre noget for at tjekke for virus.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.