De Oekraïense autoriteiten hebben in samenwerking met beveiligingsbedrijven een botnet dat Linuxservers gebruikte voor het versturen van grote hoeveelheden spamberichten uit de lucht gehaald. Het gaat om het Mumblehard-botnet, dat uit duizenden Linuxservers bestond.

Het bestaan van het botnet werd vorig jaar april door het Slowaakse anti-virusbedrijf ESET onthuld. De virusbestrijder had een domeinnaam geregistreerd dat voor het aansturen van de besmette Linuxservers werd gebruikt. Via deze domeinnaam, waar de besmette Linuxservers verbinding mee maakten, kon de omvang van het botnet in kaart worden gebracht. Na de publicatie van ESET kwamen de botnetbeheerders in actie en rolden een update uit, waarbij alle onnodige domeinnamen en ip-adressen van de lijst met controleservers werden verwijderd.

De onderzoekers ontdekten echter dat de botnetbeheerders nog maar één ip-adres gebruikten voor het aansturen van de besmette Linuxservers en geen verdere back-up hadden ingebouwd. Het overnemen van dit ip-adres zou de activiteiten van het botnet dan ook volledig stoppen. Eind februari van dit jaar kwamen de Oekraïense activiteiten, ESET en het CyS Centrum in actie en schakelde de controleserver uit.

Vervolgens lieten de onderzoekers de besmette machines verbinding met hun eigen server maken, zodat ze konden zien hoeveel Linuxservers er nog onderdeel van het botnet waren. Het bleek om 4.000 machines te gaan. Het Computer Emergency Response Team van de Duitse overheid (CERT-Bund) gaat nu alle getroffen partijen inlichten. Hoe de Linuxservers onderdeel van het botnet konden worden is nog altijd onduidelijk. In een analyse over de operatie sluit ESET niet uit dat het om al gehackte machines gaat die mogelijk door andere cybercriminelen aan de spammers werden verkocht.