Collateral damage by Microsoft

There is a good blog post by our colleague Roman Hüssy regarding Microsofts recent operation ‘b54’. Microsofts operation was not about arresting the developers of Citadel. It was not about arresting the users/customers of Citadel malware (it is for sale to anyone with $$$ on “hacker” forums). It was about taking over mostly old Citadel malware domains (where infected machines connect to).

Get a security researcher Microsoft

Unfortunately Microsoft just seized (via court orders) all Citadel domains it could find – without checking its owners. What happened is that they took away a lot sinkholed domains. In other words: They stole domains from other security companies.

Microsoft was already under critics with its operation b71 where the exact same thing happened.

Identifying sinkholes is an easy task (if you understand security): Check the who-is information, check the name server, check for other domains pointing to the specific IP, ask around in the security industry. We have written algorithms ourselves (and published information about it previously in this blog) to identify sinkholed domains – to not falsely classify them as criminals (which could have serious impact such as blacklisting company networks and servers on certain domain blacklists).

6 sub-domains (used by Citadel/ZeuS malware) pointed to Kleissner & Associates sinkholes and were stolen by Microsoft in their operation b54.

The criminals

This is like seizing a getaway car and doing nothing else. The criminal will just use another car during their next theft, and so will the Citadel users just register a new domain. We want to know how Microsoft internals think that this is a success and helps anyone. Just as operation b71 this is rather a PR stunt.

Microsoft email from their lawyer

From: publications@orricklawfirm.com
To: 
Date: Wed, 5 Jun 2013
Subject: IMPORTANT LEGAL NOTICE / ИЗВЕЩЕНИЕ ДЛЯ ОТВЕТЧИКОВ - PLEASE READ IMMEDIATELY: Microsoft Corp. v. John Does 1-82, Case No. 3:13cv319 (Western District of North Carolina)

This email relates to domain .
Plaintiff Microsoft Corporation ("Microsoft") has sued defendants John Does 1-82 associated with the Internet Domains and Internet IP Addresses located at http://www.botnetlegalnotice.com/citadel/.  Microsoft alleges that Defendants have violated Federal and state law by operating a computer botnet through these Internet domains and Internet IP addresses, causing unlawful intrusion, intellectual property violations and dissemination of unsolicited bulk e-mail to the injury of Microsoft and the public.  Microsoft seeks a preliminary injunction and seizure order directing the registries and web hosting companies associated with these Internet domains and IP addresses to take all steps necessary to disable access to and operation of these Internet domains and IP addresses, ensure that changes or access to the Internet domains and IP addresses cannot be made absent a court order and that all content and material associated with these Internet domains and IP addresses is to be isolated and preserved pending resolution of the dispute.  Microsoft seeks a permanent injunction, other equitable relief and damages.  Full copies of the pleading documents are available at http://www.botnetlegalnotice.com/citadel.  
NOTICE TO DEFENDANT:  READ THESE PAPERS CAREFULLY!  You must 'appear' in this case or the other side will win automatically.  To 'appear' you must file with the court a legal document called a 'motion' or 'answer.'  The 'motion' or 'answer' must be given to the court clerk or administrator within 21 days of the date of first publication specified herein.  It must be in proper form and have proof of service on the Microsoft's attorneys, Neil T. Bloomfield, Moore & Van Allen PLLC, 100 North Tryon Street, Suite 4700, Charlotte, NC 28202-4003; or Gabriel M. Ramsey at Orrick, Herrington & Sutcliffe LLP, 1000 Marsh Rd., Menlo Park, California, 94025.  If you have questions, you should consult with your own attorney immediately.
Истец, корпорация Microsoft Corp. («Microsoft»), обратилась с иском против Неустановленных лиц №№1-82, связанных c интернет-доменами и IP-адресами, расположенных на http://www.botnetlegalnotice.com/citadel/. Компания Microsoft заявляет, что, осуществляя деятельность компьютерного ботнета через эти интернет-домены и IP-адреса, Ответчики нарушили Федеральное законодательство и законодательство штатов, совершив незаконное вторжение, нарушения интеллектуальной собственности и распространение массовой нежелательной электронный почты, причинив тем самым вред компании Microsoft и населению. Компания Microsoft обращается с просьбой о вынесении предварительного судебного запрета и судебного приказа о конфискации, обязующих компании-регистраторы и хостинговые компании принять все необходимые меря для прекращения доступа и функционирования этих интернет-доменов и IP-адресов, гарантии невозможности изменения этих интернет-доменов и IP-адресов или получения доступа к ним в случае отсутствия судебного приказа, а также гарантии, что все содержание и все материалы, имеющие отношение к этим интернет-доменам и IP-адресам, будут изолированы и сохранены до разрешения этого спора. Компания Microsoft обращается к суду с просьбой о вынесении бессрочного судебного запрета, осуществлении иных средств судебной защиты по праву справедливости и возмещении убытков. Полную версию» состязательных бумаг можно найти на сайте http://www.botnetlegalnotice.com/citadel. 
ВАЖНАЯ ИНФОРМАЦИЯ ДЛЯ ОТВЕТЧИКА: ВНИМАТЕЛЬНО ПРОЧИТАЙТЕ ЭТИ ДОКУМЕНТЫ! Вы должны «предстать перед судом» по этому делу. Чтобы «предстать перед судом», вам необходимо официально подать в суд юридический документ, который называется «ходатайство» или «ответ». «Ходатайство» или «ответ» должны быть предоставлены секретарю или администратору суда в течение 21 дня с даты первой публикации, указанной в настоящем документе. Они должны быть оформлены должным образом и сопровождаться документом, подтверждающим официальное вручение адвокатам Microsoft Нилу Блумфильду, юридическая фирма Moore & Van Allen PLLC, 100 North Tryon Street, Suite 4700, Charlotte, NC 28202-4003; или Габриелю Рэмзи, юридическая фирма Orrick, Herrington & Sutcliffe LLP, 1000 Marsh Rd., Menlo Park, California, 94025.  Если у вас есть вопросы, немедленно проконсультируйтесь с вашим адвокатом.
 

GABRIEL M. RAMSEY 
Partner
ORRICK, HERRINGTON & SUTCLIFFE LLP
1000 MARSH ROAD MENLO PARK, CA 94025-1015 
tel 650-614-7361
fax 650-614-7401
gramseyorrick.com 

www.orrick.com