De 70.000 domeinen die Microsoft vorige week via de rechter in handen kreeg, blijken de aanvoerlijnen van het grootste botnetleger ooit. Maar er is opnieuw felle kritiek.

Microsoft is op een botnetoperatie gestuit van een nog nooit vertoonde schaalgrootte. Het concern confisqueerde vorige week meer dan 70.000 domeinen en vooral subdomeinen van 3322.org van een Chinese isp, met goedkeuring van de Amerikaanse rechter.
Malware hub

De aanleiding was de verspreiding van malware die was voorgeïnstalleerd op pc's in de winkel, maar de sinkhole die Microsoft heeft aangelegd om zicht te krijgen op het malwarenetwerk stroomt zowat over. De afgelopen dagen hebben ruim 35 miljoen unieke IP-adressen contact gemaakt met een van de tienduizenden servers die meer dan 500 malwarevarianten hosten, zo meldt Microsoft aan securityjournalist Brian Krebs.

De malware waar het Microsoft om te doen is, Nitol, blijkt bij nader inzien een kleintje te zijn op het gigantische malware hostingplatform.
Foute actie Microsoft

Fantastisch nieuws in de strijd tegen cybercrime en botnets, zou je zeggen. Maar er is wederom felle kritiek op het eigenwijze en borstklopperige optreden van Redmond. Net als eerder dit jaar, toen Microsoft een Zeus-botnet neerhaalde, een actie die door Fox-IT werd neergesabeld als contraproductieve PR-stunt.

Zowel het Zeus-botnet als deze enorme botnetfabriek zijn namelijk helemaal niet uitgeschakeld, constateert Suresh Ramasubramanian, security-onderzoeker bij IBM. Microsoft heeft via de rechter de macht over de domeinen, en kan dus het DNS-verkeer onderscheppen, maar de servers én de zombies doen hun malafide taak nog.
Olifant in porseleinkast

Bovendien rijdt Microsoft met zijn actie waarschijnlijk verschillende andere onderzoeken van securitybedrijven of digitale rechercheurs in de wielen, een punt wat ook Fox-IT destijds maakte.

Last but not least, op het onderschepte netwerk wordt ook heel veel bonafide content en online diensten gehost, dus het risico op collateral damage is levensgroot.

Ramasubramanian: "Microsoft wil snel scoren en mooie krantenkoppen zien, maar dit is uiteindelijk schadelijk voor de bestrijding van botnets."