Δραστηριότητα από το peer-to-peer (P2P) botnet ZeroAccess, επίσης γνωστό ως Sirefef, εντοπίστηκε από ερευνητές ασφαλείας στις 15 Ιανουαρίου, μετά από μια περίοδο απραξίας από 2 Ιουλίου 2014.
Το botnet επέστρεψε στην παλιά δραστηριότητα της διανομής click-fraud templates σε παραβιασμένα συστήματα, αλλά δεν έχει παρατηρηθεί αύξηση του μεγέθους του, σύμφωνα με τους ερευνητές της Dell SecureWorks. Αυτό σημαίνει ότι το botnet βασίζεται σε hosts που έχουν μολυνθεί στο παρελθόν.
Τον Δεκέμβριο του 2013, οι υπηρεσίες επιβολής του νόμου στην Ευρώπη και τις Ηνωμένες Πολιτείες μαζί με τη Microsoft και την Α10 Networks ένωσαν τις δυνάμεις τους σε μια επιχείρηση αντιμετώπισης του ZeroAccess. Η P2P αρχιτεκτονική του, ωστόσο, το κατέστησε ανθεκτικό καθώς κάθε μολυσμένος υπολογιστή στο δίκτυο θα μπορούσε να λειτουργήσει ως command & control server (C2C).
Μια δομή P2P εξασφαλίζει ότι το botnet μπορεί να επαναλειτουργήσει ανά πάσα στιγμή από τους φορείς του, εκτός εάν καθαριστούν όλα τα μολυσμένα συστήματα.
Η επίθεση τύπου Click-fraud, δεν στρέφεται κατά του χρήστη, επειδή ο στόχος του δεν είναι να υποκλέψει ευαίσθητες πληροφορίες, αλλά προκαλεί απώλειες στους διαφημιστές, οι οποίοι αναγκάζονται να πληρώνουν για τις διαφημίσεις που είναι προσβάσιμες από τα bots και όχι από τον χρήστη.
Η ερευνητική ομάδα της Dell SecureWorks Counter Threat Unit (CTU) επισημαίνει ότι οι διαχειριστές του ZeroAccess δεν έχουν προσπαθήσει να πετύχουν επέκταση του δικτύου, γεγονός που έχει ως αποτέλεσμα ένα μικρότερο botnet.
Ωστόσο, ο όρος “μικρότερο” εξακολουθεί να αναφέρεται σε δεκάδες χιλιάδες υπολογιστές, καθώς 55.208 μοναδικές διευθύνσεις IP έχουν λάβει μέρος στις κακόβουλες ενέργειες, 38.094 εκ των οποίων είναι συστήματα 32-bit και 17 114 τρέχουν σε πλατφόρμα 64-bit.
“Το ZeroAccess χωρίζεται σε δύο διακριτά botnets που λειτουργούν σε διαφορετικές θύρες UDP: Τις UDP 16464/16471 – οι οποίες χρησιμοποιούνται από παραβιασμένα συστήματα Windows που εκτελούνται σε αρχιτεκτονική 32-bit και τις θύρες UDP 16465/16470 – οι οποίες χρησιμοποιούνται από παραβιασμένα συστήματα Windows που εκτελούνται σε αρχιτεκτονική 64-bit”, ενημερώνει ένα blog post από την CTU.
Σύμφωνα με τα δεδομένα τηλεμετρίας από την Dell, η πλέον πληγείσα χώρα είναι η Ιαπωνία, αντιπροσωπεύοντας το 27,7% των μολύνσεων, ακολουθούμενη από την Ινδία (13,5%) και τη Ρωσία (12,9%). Άλλες χώρες όπου οι παραβιάσεις έχουν εντοπιστεί είναι η Ιταλία (6,6%), οι ΗΠΑ (4,6%), η Βραζιλία (3,9%), η Ταϊβάν (3,8%), η Ρουμανία (3,5%), η Βενεζουέλα (2,2%) και η Γερμανία (2,0% ).
