A Mariposa botnet 190 országban legalább 12,7 millió fertőzött zombigépet kapcsolt össze. Szerencsére azonban az FBI, a kanadai Defence Intelligence kutatócég, a Panda Security biztonsági szoftvereket készítő vállalat és a spanyol rendőrség katonai részlege, a Civil Gárda együttműködése egy nappal karácsony előtt lekapcsolta.

A botnet több módot is használt a terjedésre: fertőzött peer-to-peer fájlmegosztó hálózatokon, pendrive-okon és fertőző weboldalakra mutató MSN üzeneteken keresztül is. A gépekre aztán billentyűzetfigyelő, banki adatokat lopó, távoli elérést nyújtó és egyéb extra rosszindulatú programokat telepített.

A hálózat irányítói más bűnözőknek adták bérbe a botnet darabjait, így szereztek pénzt. Azok aztán például telepítésenként fizető segédprogramokat szórhattak szét, felugró reklámokat jeleníthettek meg, befolyásolhatták a keresési eredményeket, pénzt moshattak a lopott adatokkal vagy egyszerűen leszívhatták az áldozatok bankkártyáit.

Meglepő lehet, de a Fortune 1000-ben – azaz az ezer legnagyobb amerikai vállalat – szereplő cégek fele rendelkezett fertőzött gépekkel. Ezt állítja legalábbis Christopher Davis, a Defence Intelligence vezetője, akik egyébként 2009 májusában fedezték fel a hálózatot.

A felfedezést követően aztán a PandaLabs, a Georgia Tech Information Security Center kutatói és a hatóságok közösen megalapították a Mariposa (spanyolul pillangó) Munkacsoportot. Ennek feladatául a felelősök megtalálását és a botnet leállítását tűzték ki. A csoport beszivárgott a botnetet irányító hálózatba. Ez hasznos adatokkal látta el a kutatókat és lehetőséget nyújtott a decemberi leállításra.

A botnete létrehozó csoport önmagát „Rémálom Napok” néven emlegette, és legalább három személyből állt. A hálózathoz azonban csak névtelenséget nyújtó anonimizáló virtuális magánhálózatokon keresztül csatlakoztak, így a rend őreinek nem volt valós esélyük a bűnözők kilétének felderítésére.

A decemberi leállításkor azonban Netkairot, a csoport vezetőjét pánik fogta el. Megfeledkezett az extra védelemről és saját, otthoni gépéről, közbeiktatott hálózatok nélkül kapcsolódott fel a botnetre. Ezzel aztán viszonylag könnyen követhető digitális nyomot hagyott maga után.

A Panda blogja szerint Netkairo visszaszerezte az ellenőrzést a hálózat felett, majd bosszúból elosztott szolgáltatás-megtagadással járó támadást indított a Defence Intelligence ellen. Ez a DDoS támadás kellemetlenül érintett egy internetszolgáltatót, így sajnos több kanadai egyetemet és kormányhivatalt is megfosztott az internettől.

A Munkacsoport aztán megint megszerezte az irányítást a botnet felett, a DNS rekordok átírásával. Ezen adatok mondják meg, hogy például a technet.hu-t a számítógépünk pontosan hol is keresse az interneten. Ekkor derült ki, hogy milyen óriási is a hálózat.

Idén február harmadikán aztán a spanyol Civil Gárda letartóztatta a 31 éves Netkairo-t. A nyomozás gyorsan két újabb emberre mutatott, így huszonnegyedikén a 30 éves „jonyloleante” és a 25 éves „ostiator” álnéven működő tagokat is elfogták.

A történtekben azonban egy dolog nyugtalanítja a kutatókat: a három gyanúsított közül egyik sem rendelkezett komolyabb hackelési tudással. Ez azt jelenti, hogy a mai botneteket minimális technikai tudással is lehet üzemeltetni, továbbá milliárdos kárt lehet okozni.

Azóta kiderült, hogy a letartóztatottak csupán a rendszer adminisztrátorai, nem a megalkotói voltak. A spanyol rendőrség jelenleg is keresi a háttérben álló bűnözőzsenit, aki létrehozta a botnetet. Feltételezéseik szerint egy venezuelai állampolgár lehet az "agy" a botnet-ügyben.