Com o esforço global, um novo tipo de worm é desacelerado

Houve grandes surtos de worm de computador antes, mas nada como o Conficker.

Visto pela primeira vez em novembro, o worm logo infectou mais computadores do que qualquer worm nos últimos anos. Por algumas estimativas, agora está instalado em mais de 10 milhões de PCs. Mas desde a sua primeira aparição, tem sido estranhamente silencioso. O Conficker infecta PCs e se espalha pelas redes, mas não faz mais nada. Ele poderia ser usado para lançar um ataque cibernético em massa, prejudicando praticamente qualquer servidor na Internet, ou poderia ser alugado para spammers, a fim de distribuir bilhões e bilhões de mensagens de spam. Em vez disso, ele fica lá, um enorme motor de destruição esperando que alguém gire a chave.

Até recentemente, muitos pesquisadores de segurança simplesmente não sabiam o que a rede Conficker estava esperando. Na quinta-feira, no entanto, uma coalizão internacional revelou que eles haviam tomado medidas sem precedentes para manter o worm separado dos servidores de comando e controle que poderiam controlá-lo. O grupo é formado por pesquisadores de segurança, empresas de tecnologia, registradores de nomes de domínio que uniram forças com a Corporação para Atribuição de Nomes e Números da Internet (ICANN), que supervisiona o Sistema de Nomes de Domínio da Internet. do seu PC com Windows]

Pesquisadores desmontaram o código do Conficker e descobriram que ele usa uma nova técnica complicada para telefonar para casa para obter novas instruções. Cada dia, o worm gera uma nova lista de cerca de 250 nomes de domínio aleatórios, como o aklkanpbq.info. Em seguida, verifica esses domínios para novas instruções, verificando sua assinatura criptográfica para garantir que eles foram criados pelo autor do Conficker.

Quando o código do Conficker foi quebrado, especialistas em segurança pegaram alguns desses domínios gerados aleatoriamente, criando o que é conhecido como sinkhole servidores para receber dados de máquinas hackeadas e observar como o worm funcionava. Mas à medida que a infecção se tornou mais disseminada, eles começaram a registrar todos os domínios - perto de 2.000 por semana - tirando-os de circulação antes que os criminosos tivessem um chanc. Se os bandidos tentassem registrar um desses domínios de comando e controle, teriam descoberto que já haviam sido capturados por um grupo fictício que se autodenominava "Conficker Cabal". Seu endereço? 1 Microsoft Way, Redmond Washington.

Este é um novo tipo de jogo de gato e rato para pesquisadores, mas foi testado algumas vezes nos últimos meses. Em novembro, por exemplo, outro grupo usou a técnica para assumir o controle de domínios usados ​​por uma das maiores redes de botnet do mundo, conhecida como Srizbi, cortando-a de seus servidores de comando e controle.

Com milhares de domínios, no entanto, essa tática pode se tornar demorada e cara. Assim, com o Conficker, o grupo identificou e bloqueou nomes usando uma nova técnica, chamada de pré-registro de domínio e bloqueio.

Ao dividir o trabalho de identificar e bloquear os domínios do Conficker, o grupo apenas manteve o worm sob controle. não foi um golpe fatal, disse Andre DiMino, co-fundador da The Shadowserver Foundation, um grupo de vigilância cibercrime. "Este é realmente o primeiro esforço importante neste nível que tem o potencial de fazer uma diferença substancial", disse ele. "Gostaríamos de pensar que tivemos algum efeito em prejudicá-lo."

Este é um território desconhecido da ICANN, o grupo responsável pelo gerenciamento do sistema de endereços da Internet. No passado, a ICANN foi criticada por demorar a usar seu poder para revogar o credenciamento de registradores de nomes de domínio que têm sido amplamente usados ​​por criminosos. Mas desta vez está recebendo elogios por regras relaxantes que dificultaram o bloqueio de domínios e a união dos participantes do grupo.

"Nesse caso específico, eles lubrificaram as rodas para que as coisas se movessem rapidamente", disse David Ulevitch, fundador de OpenDNS. "Eu acho que eles deveriam ser elogiados por isso … É uma das primeiras vezes que a ICANN realmente fez algo positivo".

O fato de que um grupo tão diversificado de organizações esteja trabalhando em conjunto é notável, disse Rick Wesson, CEO da consultoria de segurança de rede Support Intelligence. "Que a China e os Estados Unidos cooperaram para derrotar uma atividade maliciosa em escala global … isso é sério. Isso nunca aconteceu", afirmou.

A ICANN não retornou as ligações em busca de comentários sobre essa história e muitos participantes do esforço do Conficker. incluindo a Microsoft, a Verisign eo CNNIC recusaram ser entrevistados para este artigo. Particularmente, alguns participantes dizem que não querem chamar atenção para seus esforços individuais para combater o que pode ser um grupo cibercrime. Outros dizem que, como o esforço é tão novo, ainda é prematuro discutir as táticas.

Qualquer que seja a história completa, as apostas são claramente altas. O Conficker já foi visto em redes governamentais e militares e tem sido particularmente virulento nas redes corporativas. Um deslize e os criadores do Conficker poderiam reprogramar sua rede, dando aos computadores um novo algoritmo que teria que ser quebrado e dando a eles a oportunidade de usar esses computadores para fins nefastos. "Temos que ser 100% precisos", disse Wesson. "E a batalha é uma batalha diária."

(Sumner Lemon em Cingapura contribuiu para este relatório).