Microsoft phá vỡ Botnet mới nổi Nitol được lan truyền thông qua một chuỗi cung ứng không an toàn

Không thể đứng trên đôi chân của người khác mãi được!

Microsoft phát hiện ổ botnet Nitol từ Trung Quốc 

 Đầu tuần này, Tòa án Quận Hoa Kỳ cho các huyện Đông Virginia kỹ thuật số cho phép đã được cấp của Microsoft Đơn vị tội phạm để phá vỡ hơn 500 chủng khác nhau của phần mềm độc hại với tiềm năng để nhắm mục tiêu hàng triệu người dân vô tội. Có tên mã là "hoạt động B70," hành động pháp lý này và sự gián đoạn kỹ thuật tiến hành từ Microsoft nghiên cứu thấy rằng tội phạm mạng xâm nhập vào chuỗi cung ứng không an toàn để giới thiệu phần mềm sao chép bất hợp pháp nhúng với phần mềm độc hại với mục đích bí mật lây nhiễm máy tính của người. Trong phá vỡ các chủng phần mềm độc hại, chúng tôi đã giúp đáng kể hạn chế sự lây lan của phát triển Nitol botnet, botnet thứ hai của chúng tôi bị gián đoạn trong sáu tháng .

Một chuỗi cung ứng giữa một nhà sản xuất và người tiêu dùng trở nên không an toàn khi một nhà phân phối hoặc đại lý bán lẻ nhận được hoặc bán các sản phẩm từ các nguồn không rõ hoặc không được phép. Trong hoạt động B70, chúng tôi phát hiện ra rằng các nhà bán lẻ bán máy tính được nạp với các phiên bản giả mạo của Windows phần mềm nhúng với phần mềm độc hại có hại. Phần mềm độc hại cho phép bọn tội phạm ăn cắp thông tin cá nhân của người truy cập và lợi dụng dịch vụ trực tuyến của họ, bao gồm e-mail, tài khoản mạng xã hội và tài khoản ngân hàng trực tuyến. Ví dụ phần mềm độc hại của việc lạm dụng này bao gồm các phương tiện truyền thông giả gửi bài viết e-mail và xã hội của nạn nhân gia đình, bạn bè và đồng nghiệp để scam hết tiền, bán các loại thuốc nguy hiểm giả, và lây nhiễm sang máy tính của họ với các phần mềm độc hại.

Có gì đặc biệt đáng lo ngại là phần mềm sao chép bất hợp pháp nhúng với phần mềm độc hại có thể đã nhập chuỗi bất cứ lúc nào như một máy tính di chuyển giữa các công ty vận tải và bán lại máy tính. Vì vậy, làm thế nào ai đó có thể biết họ đang mua từ một chuỗi cung ứng không an toàn? Một dấu hiệu là một việc xuất hiện quá tốt là đúng. Tuy nhiên, đôi khi người ta không có thể cho biết, làm cho việc khai thác một chuỗi cung ứng bị hỏng một chiếc xe đặc biệt nguy hiểm cho người lây nhiễm phần mềm độc hại.

Microsoft cam kết đầy đủ để bảo vệ người tiêu dùng bằng cách chống phân phối của phần mềm sao chép bất hợp pháp và làm việc chặt chẽ với các chính phủ, thực thi pháp luật và các thành viên ngành công nghiệp khác trong những nỗ lực này. Sự gián đoạn của chúng ta về các botnet Nitol tiếp tục thể hiện quyết tâm của chúng tôi để thực hiện tất cả các bước cần thiết để bảo vệ khách hàng của chúng tôi và ngăn cản bọn tội phạm lừa đảo chúng vào sử dụng phần mềm độc hại bị nhiễm phần mềm sao chép bất hợp pháp. Với các rủi ro an ninh rằng lây nhiễm phần mềm độc hại có thể tạo ra, chúng tôi cũng cần các nhà cung cấp, đại lý, nhà phân phối và các nhà bán lẻ trong chuỗi cung ứng để làm một phần của họ trong việc bảo vệ người dân từ phần mềm sao chép bất hợp pháp gây hại. Họ cần phải thông qua và thực hành chính sách nghiêm ngặt để đảm bảo rằng các máy tính và phần mềm họ mua và bán lại đến từ các nguồn đáng tin cậy. Hoạch định chính sách và các nhà lập pháp có thể làm việc với nhau để bảo vệ tốt hơn mọi người bằng việc nhận ra mối đe dọa an ninh này, và tìm cách để ngăn chặn phần mềm giả từ cách của mình vào chuỗi cung ứng.

Việc khám phá và hành động liên tiếp chống lại botnet Nitol bắt nguồn từ một nghiên cứu Microsoft nhìn vào chuỗi cung ứng không an toàn. Nghiên cứu khẳng định rằng tội phạm mạng tải trước phần mềm độc hại bị nhiễm phần mềm sao chép bất hợp pháp vào các máy tính được cung cấp để bán cho những người vô tội. Trong thực tế, hai mươi phần trăm của các nhà nghiên cứu máy tính mua từ một chuỗi cung ứng không an toàn đã bị nhiễm phần mềm độc hại. Làm cho vấn đề tồi tệ hơn, các phần mềm độc hại có khả năng lây lan như một bệnh truyền nhiễm thông qua các thiết bị như ổ đĩa flash USB, có khả năng gây ra của nạn nhân gia đình, bạn bè và đồng nghiệp để trở thành bị nhiễm phần mềm độc hại khi chỉ đơn giản là chia sẻ các tập tin máy tính.

Nghiên cứu của chúng tôi vào Nitol phát hiện ra rằng các botnet đã được lưu trữ trên một tên miền liên quan đến hoạt động nguy hiểm kể từ năm 2008. Nghiên cứu này cũng tiết lộ rằng ngoài để lưu trữ B70, 3322.org chứa một 500 chủng khác nhau đáng kinh ngạc của phần mềm độc hại được lưu trữ trên hơn 70.000 tên miền phụ. Chúng tôi nhận thấy có khả năng từ xa bật microphone và máy ảnh video của một máy tính bị nhiễm phần mềm độc hại, có khả năng cho đôi mắt và tai tặc vào nhà của nạn nhân hoặc kinh doanh. Ngoài ra, chúng tôi tìm thấy phần mềm độc hại ghi lại mọi người đột quỵ quan trọng, cho phép tội phạm mạng để ăn cắp thông tin cá nhân của nạn nhân. Các botnet Nitol phần mềm độc hại chính nó mang từ chối ra phân phối dịch vụ (DDoS) các cuộc tấn công có thể làm tê liệt các mạng lớn quá tải chúng với lưu lượng truy cập Internet, và tạo ra điểm truy cập ẩn trên máy tính của nạn nhân để cho phép phần mềm độc hại nhiều hơn - hoặc bất cứ điều gì khác cho rằng vấn đề - để được nạp vào một máy tính bị nhiễm.

Microsoft đã có hành động chống lại các botnet Nitol như là một phần của cam kết MARS Dự án Chương trình của chúng tôi (Microsoft Active đáp ứng cho an ninh) để chủ động loại bỏ các mối đe dọa phần mềm độc hại nhắm mục tiêu khách hàng của chúng tôi và các dịch vụ dựa trên đám mây. Chúng tôi đã nộp đơn kiện tại tòa án khu vực Đông Quận Virginia cáo buộc nhiều người trong số các hành vi vi phạm cam kết của các nhà khai thác của Waledac , Rustock và Kelihos botnet.

Vào ngày 10, tòa án cấp yêu cầu của Microsoft cho ra lệnh đơn phương cấm tạm thời đối với Peng Yong, công ty của ông và John Does khác. Để cho phép Microsoft để lưu trữ tên miền 3322.org, tổ chức botnet Nitol, thông qua hệ thống mới được tạo ra của Microsoft tên miền (DNS). Hệ thống này cho phép Microsoft để ngăn chặn hoạt động của các botnet Nitol và gần 70.000 tên miền phụ độc hại được lưu trữ trên các tên miền 3322.org, trong khi cho phép tất cả lưu lượng truy cập khác cho các tên miền phụ hợp pháp để hoạt động mà không bị gián đoạn.

Hành động này đáng kể sẽ làm giảm tác động của các mối đe dọa đe dọa và đáng lo ngại liên quan với Nitol và miền 3322.org, và sẽ giúp máy tính của người cứu hộ từ sự kiểm soát của phần mềm độc hại này. Tất cả các tài liệu pháp lý cho trường hợp này có thể được tìm thấy ở đây . Chúng tôi muốn gửi lời cảm ơn tới các giải pháp DNS và công ty bảo mật Nominum , phục vụ như là người kê khai trong trường hợp pháp luật và hỗ trợ chúng tôi trong việc lọc lưu lượng truy cập miền 3322.org.

Tội phạm mạng đã làm cho nó rõ ràng rằng bất cứ ai có một máy tính có thể trở thành một con la không có ý thức cho các phần mềm độc hại, hành động của ngày hôm nay là một bước tiến tới ngăn chặn đó. Chúng tôi sẽ tiếp tục làm việc để bảo vệ người sử dụng sản phẩm và dịch vụ của chúng tôi từ những mối đe dọa và các tội phạm mạng phía sau họ. Ngoài ra, người tiêu dùng cũng nên thực hiện quyền yêu cầu các đại lý cung cấp cho họ các sản phẩm miễn phí của phần mềm độc hại không giả.

Nếu bạn tin rằng máy tính của bạn có thể bị nhiễm phần mềm độc hại, chúng tôi khuyến khích bạn đến thăm http://support.microsoft.com/botnets như trang web này cung cấp thông tin miễn phí và các công cụ để phân tích và làm sạch máy tính của bạn.

Như trường hợp này và hoạt động đang được tiến hành, chúng tôi sẽ tiếp tục cung cấp thông tin cập nhật khi họ trở nên có sẵn. Để ở lại up-to-date về những phát triển mới nhất về cuộc chiến chống tội phạm mạng, theo Microsoft Digital Crimes Unit trên Facebook và Twitter .

Theo http://blogs.technet.com/b/microsoft_blog/archive/2012/09/13/microsoft-disrupts-the-emerging-nitol-botnet-being-spread-through-an-unsecure-supply-chain.aspx