A Aposta Legal da Microsoft para Eliminar a Pirataria Revela uma Distribuição Maciça de Malware no 3322.org
Não muito tempo depois que a Microsoft venceu uma batalha legal, permitindo que eles assumissem o controle da rede de um provedor de serviços de Internet chinês comprometido com mais de 70.000 domínios maliciosos para reprimir a pirataria, mais de 35 milhões de endereços exclusivos da Internet tentaram entrar em contato com esses 70.000 domínios.
Basicamente, este evento é uma ação sem precedentes de mais de 70.000 sistemas potencialmente infectados para telefonar para casa para subdomínios pertencentes ao 3322.org, um site previamente identificado para controlar uma ameaça de malware Nitol pré-instalada em muitos computadores novos vendidos no mercado negro.
3322.org é um site considerado pertencente a uma empresa na China. O gráfico abaixo mostra a distribuição de malware usando o site 3322.org fala por si. Pode-se concluir que o 3322.org é um site ocupado, com uma infinidade de infecções por malware distribuídas, não apenas a ameaça de malware da Nitol. No total, o site 3322.org compõe um grupo de sistemas potencialmente comprometidos em um número muito maior do que qualquer botnet (grupo de computadores comprometidos) da história.
Distribuição de Malware Usando o Site 3322.org - fonte: Microsoft
A Microsoft descobriu pela primeira vez que o Nitol era apenas uma infecção pré-instalada com o Windows em sistemas recém-adquiridos em áreas da China. Com a descoberta, a Microsoft posteriormente identificou milhares de sites no 3322.org, servindo centenas de outras manchas de malware. Com essa descoberta subsequente, a Microsoft tentou convencer um tribunal federal da Virgínia a obter controle temporário sobre partes do provedor de DNS dinâmico para essa base monstruosa de sites. Infelizmente, o esforço fracassou porque o registro .org é gerenciado por uma empresa sediada na Virgínia. Apesar de o site 3322.org pertencer a uma empresa na China, a localidade de propriedade do registro .org encerrou esse esforço.
Uma coisa a observar que nos ajuda a perceber a vastidão dos esforços potencialmente maliciosos da 3322.org é que os endereços IP são muito dinâmicos e um único computador pode ter vários IPs. Isso significa que os mais de 70.000 domínios observados pela Microsoft no 3322.org são um conglomerado de PCs comprometidos, responsáveis por cerca de 35 milhões de IPs exclusivos. Desses IPs exclusivos, o número de computadores infectados pode variar, mas ainda é maior do que qualquer outro botnet conhecido.
De certa forma, as ações da Microsoft para adquirir controle sobre a rede de um provedor de serviços de Internet chinês, abrigando mais de 70.000 domínios maliciosos potencialmente responsáveis por ações de pirataria, agravaram um leito de formigas muito grande. Uma das partes infelizes dessa batalha legal é que os danos colaterais estão afetando sites inocentes e investigações futuras. É quase como as baixas de uma guerra vencida, mas às custas daqueles que pagaram o preço final.
Existem cerca de 2,75 milhões de subdomínios hospedados no 3322.org e os 70.000 domínios que o tribunal concedeu à Microsoft para assumir o controle representam menos de 3% deles. Infelizmente, o ato de equilibrar a minimização dos danos colaterais inclinou a balança para um lado. Até que um bisturi seja usado nessa chamada investigação, em vez de um martelo, haverá danos colaterais e, ao mesmo tempo, exporá o que poderia ser o maior grupo de computadores comprometidos da história.