사이버 범죄자가 더 이상 세 번째 스팸 봇넷을 통제하지 못한다고 연구원이 말함

사이버 범죄자들은 ​​더 이상 세계 최대 스팸 봇넷 중 하나 인 Grum을 제어하지 않습니다. 왜냐하면 봇넷이 명령을받는 데 사용 된 모든 서버가 파이어 아이 (FireEye)의 수석 직원 과학자 인 아피 프 무 슈타 크 (Atif Mushtaq)는 수요일 현재 오프라인의 Grum 지휘 통제 서버 6 대와 러시아 1 대가 오프라인 상태 였다고 블로그 포스트에서 밝혔다. 이로 인해 Grum에 감염된 모든 컴퓨터가 고아가되었습니다.

FireEye는 스팸 발송자를 추적하는 비영리 단체 인 Spamhaus Project, 러시아 보안 회사 Group-IB의 컴퓨터 보안 사고 대응팀 (Computer Security Incident Response Team) Gamer는 독립적 인 IP (인터넷 프로토콜) 주소 수와 관련하여 세 번째로 큰 스팸 봇넷이었습니다.

[추가 정보 : Windows PC에서 멀웨어를 제거하는 방법] Spamhaus의 수사관 빈센트 한나 (Vincent Hanna)는 이메일을 통해 목요일에 말했다.

게시 중단 전, 조직은 매일 10 만에서 12 만 개의 IP와 매주 약 50 만 개의 IP에서 오는 Grum 스팸 메시지를 보았다. 이 메시지는 주로 가짜 처방 의약품을 홍보했습니다.

"이제는 남은 음식물 만 볼 수 있습니다."라고 한나는 말했습니다. FireEye에 따르면 Grum은 전세계 스팸 볼륨의 약 18 %를 담당했기 때문에 매일 약 180 억 개의 스팸 메시지를 보내고있었습니다.

그러나 스팸 발송에 매우 효율적이며 공백을 채울 수있는 다른 봇넷이 있기 때문에 글로벌 스팸 볼륨에 대한 Grum의 게시 중단 효과는 여전히 남아 있습니다.

FireEye는 7 월에 Grum 게시 중단 노력을 시작했습니다. 9. 당시 Grum은 네 개의 명령 및 제어 서버 (파나마에있는 서버와 러시아에있는 서버, 네덜란드에있는 서버 두 가지)를 사용했습니다.

네덜란드에있는 서버는 호스팅하는 회사에 의해 종료되었습니다. Grum 운영자가 봇넷에 새로운 스팸 명령을 내릴 수있는 능력.

화요일, 파나마의 Grum 서버가 ISP에 의해 연결 해제되어 사이버 범죄자가 봇넷의 일부를 제어하지 못하게되었다고 Mushtaq이 전했다. Grum 운영자는 다음으로 응답했습니다. 우크라이나에 6 대의 추가 서버를 설치하고 남아있는 러시아어 서버를 사용하여 감염된 컴퓨터를 가리 키도록했다.

"우크라이나는 과거에 봇 사냥꾼에게 안전한 피난처였으며 지금까지 결코 모든 서버를 폐쇄 할 수 없었다" "미국과 유럽에서 CnC (명령 및 제어 서버)를 유지하는 데 사용 된 스팸 봇넷의 대부분은 파나마, 러시아, 우크라이나와 같은 국가로 이동하여 아무도 이러한 편의성에 접할 수 없다고 생각했다. "라고 Mushtaq 씨는 말했다. "이번에는 우리가 틀린 것으로 입증되었습니다."

러시아의 서버가 주요 서버였던 것으로 보입니다. 호스팅 회사는 응답이 없었기 때문에 결국 ISP가 개입하여 서버의 IP 주소에 대한 트래픽 라우팅을 중단했습니다.

FireEye 연구원은 다른 봇넷과 달리 Grum에는 명백한 폴백 메커니즘이 없으므로 게시 중단이 영구적이기를 희망합니다. 한나 (Hanna)는 말했다.

"그러나 봇넷을 구축 할 수있는 사람들은 확실히 새로운 것을 만들 수있다."