Möödunud aasta novembris ühendati USAs internetist lahti kuritegelik internetiteenuse pakkuja McColo, mille San José serverite kaudu juhiti võimsat ja arvutist raskesti eemaldatavat pahavara nimega Srizbi. Selle abiga saadeti hinnanguliselt pool maailma spämmist, küberkuritegelik tarkvara oli installeerunud vähemalt 450 000 arvutisse, mis moodustasid nakatatud arvutite võrgu, botnet’i.


McColo lahtiühendamise järel kaotasid küberkurjategijad Srizbi üle kontrolli ja hakati otsima uut internetipakkujat, mille serveri kaudu botnet’i juhtimist jätkata. Srizbi algoritm genereeris perioodiliselt uusi domeeninimesid, kust pahavara sai uusi instruktsioone. Algoritmiga varustatud küberkurjategijad pidid registeerima sobivaid domeeninimesid ja paigutama neid serveritesse.


Spämmijad asusid otsima uut internetipakkujat, mis majutaks vajalikke servereid, ja leidsid Eestist Starline Web Services’i, millele pakkus internetiühendust Compic. See internetipakkuja ostis teenust omakorda Linxtelecom Estonialt. Ühel hetkel hakkasid paljud maailma masinad ühe Linxtelecomi kliendi juurde ühendusi looma ja arvutiturvalisusega tegelevad organisatsioonid aimasid masterserver’i asukohta.


Linxtelecomi võrgus botnet’i juhtimine paraku välja ei paista ja ega internetipakkujad reeglina ise seda ka ei näe, pahatihti vahendatakse pahavara enesele teadmata. Spämmijate masterserver oli kavalalt meie kliendi juurde sokutatud. Server on inkognito nagu Šveitsi pank – füüsilist masinat ei pea kohale tooma, suvalisest maailma punktist tehakse serveri tarkvara installeering.


Arvutiturvalisusorganisatsioonid ja viirusetõrjefirmad tegelevad pidevalt interneti monitoorimisega ja vahetavad omavahel ning mõistagi ka internetipakkujatega infot. Kui Eesti CERT, siinne arvutiturvalisusorganisatsioon, juhtis Linxtelecomi tähelepanu Compici tegevusele, pöördusime omakorda nende poole ja vastust saamata tuli piltlikult öeldes nende ots seinast välja tõmmata.


Linxtelecomi kliendilepingutes on kirjas, mida tohib ja mida mitte, ning botnet’i juhtimine mõistagi lubatud tegevuseks ei klassifitseeru.
Kuidas oma arvutist pahavara eemal hoida?

Kõige paremad nõuanded on veebil www.arvutikaitse.ee ja tooksin mõned koos hüüumärkidega lõpus ka välja:
  • Paigaldage arvutisse viirustõrjetarkvara, kasutage ja uuendage seda!
  • Kasutage riist- ja tarkvaralist tulemüüri!
  • Laadige regulaarselt alla operatsioonisüsteemi ja rakendus­programmide uuendusi ja täiendusi!
  • Suhtuge ettevaatusega kõigesse, mida internetist alla laete, kui vähegi võimalik, üritage kontrollida selle päritolu!
  • Ärge avage tundmatutelt saatjatelt tulnud meilimanuseid ega veebilinke, sõpradel aga paluge üle seletada, mida nad täpselt saatsid!

Mis on botnet?

Botnet on itimeeste žargoonisõna, millega märgitakse arvutivõrgus tegutsevaid pahatahtlike tarkvararobotite, bottide gruppe. Need töötavad iseseisvalt ja automaatselt ning neid juhitakse käske edastavast ja kontrollivast serverist. Tarkvararobotid on iseeneslikult instal­leerunud arvutivõrgus olevatesse arvutitesse ussviiruste, troojalaste või muude arvutisse sissemurdmiseks loodud tarkvaraliste vahendite abil, muutes enda valitud arvutid “bottideks”.

Botnet’i kasutatakse mitmetel eesmärkidel, nii kommerts- kui kuritegelikel. Näiteks spämmimiseks, reklaamvara (adware) saatmiseks, nuhkvara (spyware) installeerimiseks, valeklikkide kogumiseks (click fraud), pangakoodide püüdmise (phishing) peitmiseks.