Hvem kontroll på Rustock botnet? Spørsmålet er fortsatt ubesvart: Microsofts nylige Takedown av verdens største spam-motoren tilbudt frist nye ledetråder til identitet og inntjeningen til Rustock botmasters. Dataene viser at Rustock kuratorer gjort millioner av hallikvirksomhet rogue internett apoteker, men synliggjør også de utfordringene som etterforskerne fortsatt står overfor i å spore opp de ansvarlige for å bygge og profittere fra dette komplekset kriminalitet maskinen.
Tidligere denne måneden, Microsoft invalidiserte Rustock ved å overbevise en domstol til å la den gripe dusinvis av Rustock kontrollservere som ble spredt blant flere USA-baserte hosting leverandører. Kort tid etter at takedown, begynte jeg å følge pengene sti for å lære som til slutt betalte botnet kontrollere 'verter for sine tjenester.
Ifølge intervjuer med etterforskere involvert i Rustock takedown, omtrent en tredjedel av kontrollservere ble leid fra US hosting-leverandører med én enhet.
En liten bedrift i Øst-Europa som spesialiserer seg på videresalg hosting tjenester til skygge personer som vanker jordiske hacker fora
KrebsOnSecurity.com snakket med som forhandler. I bytte for avtalen at jeg ikke navnet hans operasjon eller hans sted, forutsatt at han betalingsinformasjon om kunden som kjøpte flere titalls servere som ble brukt til å manipulere den dag-til-dag driften av massive botnet.
Forhandleren var villig til å dele informasjon om sin klient fordi kunden viste seg å være en deadbeat: Kunden gikk ut på to måneder igjen av leie, en utestående gjeld på $ 1600. Forhandleren også virket villig til å snakke med meg fordi jeg kanskje kunne bøye øret av Spamhaus.org, anti-spam gruppe som oppfordret ISPer hele verden til å blokkere sine internettadresser (flere tusen dollar verdt av leide servere) kort tid etter at Microsoft annonserte Rustock Takedown.
Jeg fant forhandler annonserer sine tjenester på en russisk-språklige forum som henvender seg utelukkende til spammere, hvor han beskriver maskinvare, programvare og tilkobling hastighet evner av de aller servere som han senere skulle leie ut til Rustock botmaster. Det oppfordring, som ble lagt ut på en stor spammer forum i januar 2010, tilbød potensielle kunder fleksible vilkår uten å sette for mange grenser på hva de kunne gjøre med serverne.
En oversatt versjon av en del av hans budskap:
>
"Jeg gjentar igjen at serverne er legitime, finansiert av oss og tilhører