Microsoft negeert nog altijd de kritiek uit de securitybranche dat zijn acties tegen botnets eerder kwaad dan goed doen. Met het verstoren van het sluwe ZeroAccess-botnet blijkt het niet anders. Het groots aangekondigde 'offline halen' van dat klikfraudebotnet haalt weinig uit tégen de botnetherders.

Beheerders buiten schot

Ten eerste zijn de cybercriminele beheerders buiten schot gebleven. Ten tweede hebben zij binnen een etmaal het botnet alweer van een update voorzien. Daardoor is het malafide netwerk weer up&running. Want zoals voorspeld is ZeroAccess namelijk bijna niet klein te krijgen, de instructies aan de zombies lopen voornamelijk via p2p.

En het derde probleem: Microsoft rijdt andere botnetbestrijders in de wielen. In eerste instantie leek Microsoft de actie beter te hebben gecoördineerd en gecommuniceerd, maar niets blijkt minder waar. Dit keer waren dan weliswaar politiediensten betrokken, maar andere botnetonderzoekers staan in de kou.

Het is niet de eerste keer dat Microsoft als een olifant door de porseleinkast heengaat qua botnetacties. Bij de Zeus-takedown werd ook geblunderd.

Microsoft heeft namelijk wederom verschillende sinkholes van andere botnetbestrijders geëlimineerd, zoals die van het Delftse securitybedrijf Fox-IT. Het gaat niet om hardware, maar om domeinen van de cybercriminelen. Die redirecten nu allemaal naar Microsoft, vertelt onderzoeker Maarten Boone van Fox-IT aan Webwereld. ZeroAccess, Citadel, Zeus, het is telkens hetzelfde liedje met Redmond.

'Microsoft luistert niet naar kritiek'

“Bijna alle operaties vanuit Microsoft nemen op grote schaal sinkholes van onderzoekers bij dit soort acties. Ze lossen ook helemaal niks op, tot nu toe nog geen enkele keer ook maar iets van verschil gemaakt in het verleden”, aldus Boone tegen Webwereld.

Microsoft rept weliswaar van ‘partners’, maar weigert duidelijk te maken wie dat zijn. Boone, verbolgen: “Ze brengen het elke keer met een media-offensief naar buiten, daardoor lijkt het allemaal state of the art. Maar dit is pure marketing. Hier wordt niemand beter van behalve Microsoft. Bij elke actie komt er duidelijke kritiek vanuit de rest van de industrie maar deze lijkt Microsoft keer op weer weg te wuiven en naast zich neer te leggen.”

Ook security-onderzoeker DNSSmurf, die anoniem wil blijven, is zijn sinkhole kwijt. Hij doet al maandenlang onderzoek naar ZeroAccess. “De kans is erg klein dat zo’n actie van Microsoft iets oplevert, behalve een tijdelijke dip en wat minder inkomsten voor de beheerders. Het is bovenal zuur voor andere onderzoekers.”

Weinig alternatieven

James Wyke van Sophos, die ook al lang met ZeroAccess bezig is, is minder kritisch over de actie van Microsoft. Ook hij erkent dat de beheerders de boel gewoon weer kunnen opbouwen, maar alleen al de verstoring van het botnet raakt de cybercriminelen in de portemonnee.

"Ik zou wel erg graag wat arrestaties zien, want ik zie geen andere methode om ZeroAccess uiteindelijk te elimineren. En zonder arrestaties leiden de beheerders toch aanzienlijke schade, en dat is op zich al en een goede prestatie, wat mij betreft."