Yhdysvaltain oikeusministeriön johtamassa operaatiossa iskettiin Gameover
ZeuS- ja CryptoLocker-haittaohjelmia vastaan. Viranomaiset ottivat
Yhdysvaltain oikeusviraston johtamassa kansainvälisessä operaatiossa
haltuunsa Gameover ZeuS- ja CryptoLocker-haittaohjelmien komentoliikennettä
ja heikensivät haittaohjelmaverkostojen otetta uhreistaan.
“Operation Tovar”-nimellä kulkenut poliisioperaatio on osa kansainvälisessä
yhteystoiminnassa tehtyä viranomaisten taistelua haittaohjelmia levittäviä
rikollisverkostoja vastaan. Operaatioon osallistui yhdysvaltain
liittovaltion poliisi FBI, Europol, Iso-britannian NCA sekä
tietoturvayritykset CrowdStrike, Dell SecureWorks, Symantec, Trend Micro,
F-Secure ja McAfee sekä tutkijoita eurooppalaisista yliopistoista.
Gameover ZeuS on ollut vaikeasti torjuttava uhka. Perinteisesti
haittaohjelmat viestivät rikollisten hallussa olevalle komentopalvelimelle
saadakseen käskyjä, ja välittääkseen käyttäjiltä varastettua tietoa takaisin
tekijälleen. Komentopalvelimien haltuun ottaminen tai niille tarkoitetun
viestinnän ohjaaminen turvallisen tahon hallinnoimalle palvelimelle on ollut
perinteinen keino haittaohjelmaverkostojen häiritsemiseen. Tätä mentelmää
kutsutaan termillä “sinkholing”. Gameover ZeuS sisältää
komentopalvelinhäirinnän tehottomaksi tekevän p2p- eli
vertaisverkkotoiminnallisuuden, jonka avulla saastuneet koneet voivat ottaa
vastaan komentoja myös sellaisissa tilanteissa, joissa komentopalvelin ei
vastaa kutsuihin. Tartunnan saaneissa koneissa olevat haittaohjelmat
ylläpitävät kattavaa listaa muista saastuneista tietokoneista ja pystyvät
jakamaan päivityksiä, konfiguraatiotiedostoja sekä välittämään varastettua
dataa suoraan muille koneille ilman keskitettyä komentopalvelinta.