Grum (známý také jako Tedroo anebo Reddyb) vznikl v roce 2008. Po čtyři roky byl zodpovědným za neuvěřitelných 26% všeho světového spamu. Zaměřoval se na propagaci farmaceutických výrobků.

Svého vrcholu dosáhl v roce 2010, kdy rozesílal 39,9 miliard během měsíce března. Odhaduje se, že v této době do něj bylo zapojeno 560 až 840 tisíc počítačů. Díky těmto číslům se z něj stal největší spamovací botnet své doby. Ještě v roce 2012 byl stále zodpovědný za 18% globálního spamu.

Využíval dva typy command and control serverů. Jeden se staral o aktualizace a posílání konfigurace napadeným počítačům a druhý říkal zombie počítačům co mají spamovat a kam.

Na počátku jeho zničení byla analýza společnosti FireEye, která identifikovala command and control servery v Holandsku, Panamě a Rusku. Po zveřejnění zprávy 16. července 2012 holandští ISP, pod kterými byly dva ovládací servery, zodpovědné za rozesílání instrukcí k spamu, je zablokovali.

O den později je následoval ISP v Panamě, který vypnul primární command and control server na základě tlaku odborné veřejnosti.

Administrátoři Grumu však rychle rychle vytvořili 6 nových ovládacích serverů na Ukrajine. FireEye však díky spolupráci se Spamhaus, CERT-GIB a anonymní skupinou výzkumníků, kterým předali všechny podklady, nové command and control servery vyřadili 18. července 2012. ISP v Rusku však nespolupracoval, ovšem podařailo se přesvědčit jejich dodavatele kontektivity. To byl oficiální konec bonetu Grum 19. července 2012.

Podle dat Spamhouse ještě spam z napadených počítačů následující den odcházel. Ovšem z původních 120 tisíc IP adres už to bylo jen 21.505.

Grum ovládalo rozhraní napsané v PHP pojmenované Zagruska Systems (zagruska je ruské slovo загрузка, které znamená download). V HTML kódu rozhraní byla zpráva „Spam Service Coded by -= ( Spiderman)“. Heslo do administrace bylo megerasss (zašifrované bylo přes MD5).

Na jednom z ovládacích serverů byla nalezena databáze emailových adres o velikosti 350 GB. Rozdělená do několika desítek listů. V každé bylo mezi 20 až 60 milionů emailů. Dohromady jich bylo více jak 2,3 miliardy. Většina spamu se týkala nelegálních farmaceutik, část falešných hodinek a v roce 2011 byly rozesílány i emaily s malware maskované jako upozornění na balíčky DHL.

• https://www.fireeye.com/blog/threat-research/2012/07/grum-botnet-no-longer-safe-havens.html
• https://krebsonsecurity.com/2012/08/inside-the-grum-botnet/

Tento článek byl byl přečten 2338 krát