Sonda botnetów zamienia 70 G Bytes danych osobowych, finansowych

Naukowcy z University of California uzyskali kontrolę nad dobrze znaną i potężną siecią zaatakowanych komputerów przez 10 dni, uzyskując wgląd w to, jak kradną dane osobowe i finansowe.

Botnet, znany jako Torpig lub Sinowal, jest jedną z bardziej zaawansowanych sieci wykorzystujących trudne do wykrycia złośliwe oprogramowanie do infekowania komputerów, a następnie zbierania danych, takich jak hasła do poczty elektronicznej i dane uwierzytelniające bankowości internetowej.

Naukowcy byli w stanie monitorować ponad 180 000 zhakowanych komputerów, wykorzystując słabość w sieci kontroli i kontroli wykorzystywaną przez hakerów do kontrolowania komputerów. Pracowało to jednak tylko przez 10 dni, dopóki hakerzy nie zaktualizowali instrukcji polecenia i kontroli, jak wynika z 13-stronicowego artykułu naukowców.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Nadal jednak wystarczyło okna, by zobaczyć moc gromadzenia danych Torpiga / Sinowala. W tym krótkim czasie zebrano około 70 GB danych z zaatakowanych komputerów.

Naukowcy zapisali dane i współpracują z organami ścigania, takimi jak Federalne Biuro Śledcze USA, ISP, a nawet Departament Obrony Stanów Zjednoczonych, aby powiadomić ofiary. Dostawcy usług internetowych zamknęli również niektóre witryny sieci Web, które były używane do dostarczania nowych poleceń do zaatakowanych komputerów.

Torpig / Sinowal może prześladować nazwy użytkowników i hasła od klientów poczty e-mail, takich jak Outlook, Thunderbird i Eudora, jednocześnie zbierając adresy e-mail w tych programach do użytku przez spamerów. Może także zbierać hasła z przeglądarek internetowych.

Torpig / Sinowal może zainfekować komputer, jeśli komputer odwiedza złośliwą witrynę sieci Web, która ma na celu sprawdzenie, czy komputer ma niezałatane oprogramowanie, technikę znaną jako atak drive-by download. Jeśli komputer jest podatny na ataki, drobny kawałek złośliwego oprogramowania, zwany rootkitem, wsuwa się głęboko w system.

Naukowcy odkryli, że Torpig / Sinowal trafia do systemu po tym, jak został pierwszy zainfekowany przez Mebroota, rootkit które pojawiły się około grudnia 2007 r.

Mebroot infekuje główny rekord rozruchowy (MBR) komputera, pierwszy kod, którego komputer szuka podczas uruchamiania systemu operacyjnego po uruchomieniu systemu BIOS. Mebroot jest potężny, ponieważ wszelkie dane, które opuszczają komputer, mogą zostać przechwycone.

Mebroot może również pobrać inny kod na komputer.

Torpig / Sinowal jest dostosowany do pobierania danych, gdy użytkownik odwiedza niektóre bankowość online i inne witryny sieci Web. Jest zakodowany, aby odpowiedzieć na ponad 300 stron internetowych, z których najlepszymi są PayPal, Poste Italiane, Capital One, E-Trade i Chase bank.

Jeśli dana osoba trafi na bankową stronę internetową, Podaje się sfałszowany formularz, który wydaje się być częścią legalnej strony, ale żąda szeregu danych, których zwykle nie zażądałby bank, takich jak PIN (osobisty numer identyfikacyjny) lub numer karty kredytowej.

Strony internetowe wykorzystujące Szyfrowanie SSL (Secure Sockets Layer) nie jest bezpieczne, jeśli jest używane przez komputer PC z Torpig / Sinowal, ponieważ złośliwe oprogramowanie będzie pobierać informacje zanim zostaną zaszyfrowane, napisali naukowcy.

Hakerzy zazwyczaj sprzedają hasła i informacje bankowe na podziemnych forach, aby inni przestępcy, którzy próbują ukryć dane w gotówce. Choć trudno dokładnie oszacować wartość informacji zebranych w ciągu 10 dni, może to być wartość od 83 000 do 8,3 miliona USD, jak podał gazeta badawcza.

Istnieją sposoby na rozbicie botnetów takich jak Torpig / Sinowal. Kod botnetu zawiera algorytm, który generuje nazwy domen, które złośliwe oprogramowanie wywołuje w celu uzyskania nowych instrukcji.

Inżynierowie bezpieczeństwa często byli w stanie wymyślić te algorytmy, aby przewidzieć, do których domen złośliwe oprogramowanie będzie się odwoływać, i wstępnie zarejestrować te domeny, aby zakłócić działanie botnet. Jest to jednak kosztowny proces. Robak Conficker może na przykład wygenerować do 50 000 nazw domen dziennie.

Rejestratorzy, firmy, które sprzedają rejestracje domen, powinny odgrywać większą rolę we współpracy ze środowiskiem bezpieczeństwa - napisali naukowcy. Ale rejestratorzy mają swoje własne problemy.

"Z kilkoma wyjątkami często brakuje im zasobów, zachęt czy kultury, aby poradzić sobie z problemami bezpieczeństwa związanymi z ich rolami" - czytamy w dokumencie.