Med global insats sänks en ny typ av mask

Det har varit stora datormaskutbrott före, men inget som Conficker.

Första gången i november hade ormen snart infekterat fler datorer än någon mask i de senaste åren. Av några uppskattningar är det nu installerat på mer än 10 miljoner datorer. Men sedan dess första utseende har det varit underligt tyst. Conficker infekterar datorer och sprider sig kring nätverk, men det gör inget annat. Det kan användas för att starta en massiv cyberattack, som förlorar nästan vilken som helst server på Internet, eller det kan hyras ut till spammare för att pumpa ut miljarder på miljarder spam. Istället sitter den där, en massiv destruktionsmotor som väntar på att någon ska vrida nyckeln.

Fram till nyligen visste många säkerhetsforskare helt enkelt inte vad Conficker-nätverket väntade på. På torsdagen avslöjade en internationell koalition att de hade vidtagit oöverträffade åtgärder för att hålla ormen separerad från kommandot och kontrollservrarna som kunde kontrollera det. Gruppen består av säkerhetsforskare, teknikföretag, domännamnregistratörer som har gått ihop med Internet Corporation för tilldelade namn och nummer (ICANN), som övervakar internetets domännamnssystem.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Forskare hade tagit ut Conficker kod och upptäckte att det använder en knepig ny teknik att ringa hem för nya instruktioner. Varje dag genererar ormen en ny lista med cirka 250 slumpmässiga domännamn som aklkanpbq.info. Det kontrollerar sedan domänerna för nya instruktioner, verifierar sin kryptografiska signatur för att säkerställa att de skapades av Conficker författare. När Conficker kod kraschades först, upptäckte säkerhetsexperter några av dessa slumpmässigt genererade domäner, vilket skapade det som kallas sinkhole servrar för att ta emot data från hackade maskiner och observera hur masken fungerade. Men eftersom infektionen blev mer utbredd började de registrera alla domäner - nära 2000 per vecka - ta dem ur cirkulation innan brottslingar hade en chans. Om någonsin de dåliga killarna försökte registrera ett av dessa kommando- och kontrolldomäner, hade de funnit att de redan hade tagits, av en fiktiv grupp som kallar sig Conficker Cabal. Dess adress? 1 Microsoft Way, Redmond Washington.

Detta är en ny typ av katt-och-mus-spel för forskare, men det har testats några gånger under de senaste månaderna. I november använde en annan grupp tekniken för att ta kontroll över domäner som används av ett av världens största botnätverk, så kallade Srizbi, och skära av det från sina kommando- och kontrollservrar.

Med tusentals domäner, Denna taktik kan dock bli tidskrävande och dyr. Så med Conficker har gruppen identifierat och låst namn med hjälp av en ny teknik, kallad domänregistrering och lås.

Genom att dela upp arbetet med att identifiera och låsa ut Conficker domäner har gruppen bara hållit ormen i kontroll, inte behandlat det som ett dödligt slag, sade Andre DiMino, medgrundare av The Shadowserver Foundation, en cybercrime watchdog-grupp. "Det här är verkligen den första nyckelinsatsen på denna nivå som har potential att göra en stor skillnad," sa han. "Vi skulle vilja tro att vi har haft någon inverkan på att förinta det."

Detta är okänt territorium för ICANN, den grupp som ansvarar för att hantera Internetets adresssystem. ICANN har tidigare kritiserats för att vara långsam att använda sin makt att återkalla ackreditering från domännamnregistratorer som har använts i stor utsträckning av brottslingar. Men den här gången blir det beröm för avkopplande regler som gjorde det svårt att låsa ner domäner och för att sammanföra gruppens deltagare. "I detta specifika fall smed de hjulen så att sakerna skulle gå snabbt", säger David Ulevitch, grundare av OpenDNS. "Jag tror att de bör lovordas för det … Det är en av de första gångerna som ICANN verkligen har gjort något positivt."

Det faktum att en så diversifierad grupp av organisationer arbetar tillsammans är anmärkningsvärd, säger Rick Wesson, VD för support för nätverkssäkerhet Support Intelligence. "Det Kina och Amerika samarbetade för att besegra en skadlig verksamhet på global nivå … det är allvarligt. Det har aldrig hänt," sa han.

ICANN återvände inte samtal som sökte kommentarer till den här historien och många av deltagarna i Conficker-ansträngningen, inklusive Microsoft, Verisign och Internet Network Information Center (CNNIC), nekades att intervjuas för den här artikeln.

Privata säger vissa deltagare att de inte vill göra uppmärksamhet åt sina individuella ansträngningar för att bekämpa vad som väl kan vara en organiserad cyberbrottsgrupp. Andra säger att eftersom insatsen är så ny är det fortfarande för tidigt att diskutera taktik.

Oavsett hela berättelsen är insatserna klart höga. Conficker har redan upptäckts på regerings- och militärnätverk och har varit särskilt virulent inom företagsnätverk. En slip-up, och Conficker skapare kunde omprogrammera sitt nätverk, vilket ger datorerna en ny algoritm som skulle behöva knäckas och ge dem en möjlighet att använda dessa datorer för fientliga ändamål. "Vi måste vara 100 procent korrekta," sa Wesson. "Och striden är en daglig kamp."

(Sumner Lemon i Singapore bidrog till denna rapport.)