ISP Estonia Mematikan Server Kontrol untuk Srizbi Botnet

ISP Estonia yang secara temporer host server perintah-dan-kontrol untuk botnet Srizbi, yang bertanggung jawab atas sebagian besar spam dunia, telah memutus server tersebut, menurut analis keamanan komputer.

Starline Web Services, yang berbasis di ibukota Estonia, Tallinn, telah menjadi tuan rumah empat nama domain yang diidentifikasi sebagai titik kontrol untuk Srizbi, menurut peneliti dari firma keamanan komputer FireEye.

Ratusan ribu PC di seluruh dunia terinfeksi Srizbi, rootkit yang sulit-untuk-menghapus yang digunakan untuk mengirim spam, diprogram untuk mencari instruksi baru dari server di domain tersebut.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Srizbi is consi salah satu botnet yang lebih kuat, dengan setidaknya 450.000 PC terinfeksi. Diperkirakan bahwa setengah dari spam dunia berasal dari komputer yang terinfeksi Srizbi. Spam tetap menjadi bisnis yang menguntungkan bagi para penjahat dunia maya.

Namun, para spammer kehilangan kontrol terhadap Srizbi ketika ISP yang sebelumnya menjadi tuan rumah server perintah-dan-kontrolnya terputus dari Internet. McColo, yang servernya berbasis di San Jose, California, terputus oleh penyedia upstreamnya awal bulan ini setelah diekspos oleh ahli keamanan komputer dan Washington Post.

Yang membiarkan spammer tidak dapat mengendalikan komputer yang terinfeksi Srizbi. Tetapi kode Srizbi berisi mekanisme fallback di mana spammer dapat terhubung kembali dengan mesin yang terdampar jika skenario semacam itu terjadi.

Algoritme dalam Srizbi secara berkala akan menghasilkan nama domain baru di mana malware akan mencari petunjuk baru jika domain tersebut ditayangkan di Internet. Dipersenjatai dengan algoritma yang sama, para spammer hanya mendaftarkan nama domain yang tepat dan mengarahkannya ke server mereka.

Para spammer, bagaimanapun, membutuhkan ISP baru untuk meng-host server tersebut, setidaknya untuk sementara waktu. Mereka menemukan Starline Web Services, ISP yang sangat kecil, tetapi penyedia itu juga telah memutuskannya.

"Saya puas karena situs-situs itu ditutup," kata Hillar Aarelaid, kepala petugas keamanan untuk Tim Tanggap Darurat Komputer Estonia (CERT), pada hari Kamis.

Upaya menghubungi Starline Web Services tidak berhasil. Tapi Aarelaid mengatakan CERT telah melakukan kontak dengan perusahaan, dan tampaknya responsif terhadap keluhan tentang penyalahgunaan.

Starline Web Services membeli konektivitasnya dari Compic, perusahaan Estonia lainnya. Compic telah ditandai oleh CERT Estonia sebagai memiliki situs web hosting perangkat lunak berbahaya, kata Tarmo Randel, seorang ahli keamanan informasi di organisasi tersebut.

Randel mengatakan CERT telah "terus-menerus" memberi tahu Compic tentang malware yang telah mereka hosting. Compic akan mengambil tindakan untuk menghapus situs-situs tergantung "pada seberapa keras kita berteriak," kata Randel. Compic biasanya bereaksi cepat ketika CERT mengirim email keluhan - dan menyalin Kepolisian Kriminal Estonia, kata Randel.

Pada hari Kamis, penyedia hulu Compic, Linxtelecom, mengirim e-mail ke komunitas ISP Estonia yang mengatakan mereka berencana untuk memotong Compic, kata Randal.

Linxtelecom menjual layanan transit IP yang menghubungkan ISP lokal dan operator telekomunikasi dengan operator data yang lebih besar. Linxtelecom mengatakan di email bahwa 99 persen dari keluhan yang diterimanya atas penyalahgunaan terkait dengan Compic, kata Randel.

Seorang pejabat Linxtelecom mengatakan dia tidak tahu tentang e-mail. Compic menanggapi keluhan dalam waktu dua hari atau lebih, tetapi Linxtelecom di masa lalu memotong konektivitas ke situs Web yang diselenggarakan oleh Compic setelah keluhan, kata pejabat itu.

Pakar keamanan komputer mengatakan ada beberapa ISP dan pendaftar nama domain yang bekerja sama dengan penjahat cyber untuk mendukung operasi spam, situs web yang menjual perangkat lunak palsu dan penipuan lainnya.

Operasi sulit dihentikan karena sifat internasional mereka, kecepatan kejahatan cyber bereaksi terhadap penutupan dan kurangnya sumber daya penegakan hukum atau minat.

Penghentian McColo terjadi setelah penelitian diterbitkan yang menunjukkan sejauh mana perusahaan tersebut terlibat di bawah tanah kriminal.

Demikian pula, ISP buruk lain yang tercatat - yang dikenal sebagai Atrivo atau Intercage - terpotong oleh penyedia upstreamnya pada bulan September sebagai akibat dari meningkatnya tekanan dari komunitas keamanan komputer.

"Dengan Kasus-kasus baru-baru ini dari McColo dan Atrivo / Intercage diambil dari Internet, akan lebih mudah di masa depan untuk memberi lebih banyak tekanan pada hoster badware lain yang dikenal untuk mengambil tindakan atau pergi offline, "kata Toralv Dirro, ahli strategi keamanan untuk McAfee's Avert Labs, pada Hari Kamis.