Το Botnet Probe Αναπτύσσει 70G Bytes Προσωπικών, Οικονομικών Δεδομένων

Οι ερευνητές του Πανεπιστημίου της Καλιφόρνιας απέκτησαν τον έλεγχο ενός γνωστού και ισχυρού δικτύου υπολογιστών με πειρατεία για 10 ημέρες, αποκτώντας πληροφορίες για το πώς κλέβει προσωπικά και οικονομικά δεδομένα.

Το botnet, γνωστό ως Torpig ή Sinowal, είναι ένα από τα πιο εξελιγμένα δίκτυα που χρησιμοποιεί δύσκολο να ανιχνεύσει κακόβουλο λογισμικό για να μολύνει υπολογιστές και στη συνέχεια να συλλέξει δεδομένα όπως κωδικούς ηλεκτρονικού ταχυδρομείου και διαπιστευτήρια ηλεκτρονικής τραπεζικής. μπόρεσαν να παρακολουθήσουν περισσότερους από 180.000 πειρατές υπολογιστές εκμεταλλευόμενοι μια αδυναμία στο δίκτυο εντολών και ελέγχου που χρησιμοποιούν οι χάκερ για τον έλεγχο των υπολογιστών. Λειτουργεί μόνο για 10 ημέρες μέχρι να ενημερώσουν οι hackers τις οδηγίες εντολών και ελέγχου, σύμφωνα με το έγγραφο των 13 σελίδων των ερευνητών.

[Περαιτέρω ανάγνωση: Τρόπος κατάργησης κακόβουλου λογισμικού από τον υπολογιστή σας Windows]

Ακόμα, αυτό ήταν αρκετό από ένα παράθυρο για να δει τη δύναμη συλλογής δεδομένων του Torpig / Sinowal. Σε αυτό το σύντομο χρονικό διάστημα συλλέχθηκαν περίπου 70G bytes από υπολογιστές με πειρατεία.

Οι ερευνητές αποθηκεύουν τα δεδομένα και συνεργάζονται με τις υπηρεσίες επιβολής του νόμου όπως το Ομοσπονδιακό Γραφείο Ερευνών των ΗΠΑ, οι ISP και ακόμη και το Υπουργείο Άμυνας των ΗΠΑ για να ειδοποιήσουν θύματα. Οι φορείς παροχής υπηρεσιών διαδικτύου έχουν επίσης κλείσει κάποιες τοποθεσίες Web που χρησιμοποιούνταν για την παροχή νέων εντολών στις πειρατειακές μηχανές, έγραψαν.

Το Torpig / Sinowal μπορεί να περάσει ονόματα χρηστών και κωδικούς πρόσβασης από πελάτες ηλεκτρονικού ταχυδρομείου, όπως το Outlook, Thunderbird και Eudora, διευθύνσεις ηλεκτρονικού ταχυδρομείου σε αυτά τα προγράμματα για χρήση από spammers. Μπορεί επίσης να συλλέξει κωδικούς πρόσβασης από προγράμματα περιήγησης Web

Το Torpig / Sinowal μπορεί να μολύνει έναν υπολογιστή εάν ένας υπολογιστής επισκέπτεται έναν κακόβουλο ιστότοπο που έχει σχεδιαστεί για να ελέγχει αν ο υπολογιστής έχει μη κωδικοποιημένο λογισμικό, μια τεχνική γνωστή ως επίθεση κατά τη λήψη. Εάν ο υπολογιστής είναι ευάλωτος, ένα κομμάτι κακόβουλου λογισμικού χαμηλού επιπέδου που ονομάζεται rootkit γλιστρά βαθιά μέσα στο σύστημα.

Οι ερευνητές ανακάλυψαν ότι το Torpig / Sinowal καταλήγει σε ένα σύστημα μετά την πρώτη του μόλυνση από το Mebroot, ένα rootkit που εμφανίστηκε γύρω στο Δεκέμβριο του 2007.

Το Mebroot μολύνει το Master Boot Record (MBR) του υπολογιστή, τον πρώτο κώδικα που αναζητά ένας υπολογιστής κατά την εκκίνηση του λειτουργικού συστήματος μετά την εκτέλεση του BIOS. Το Mebroot είναι ισχυρό δεδομένου ότι οποιαδήποτε δεδομένα που φεύγουν από τον υπολογιστή μπορούν να παρεμποδιστούν.

Το Mebroot μπορεί επίσης να κατεβάσει άλλο κώδικα στον υπολογιστή.

Το Torpig / Sinowal είναι προσαρμοσμένο για να αρπάξει τα δεδομένα όταν κάποιος επισκέπτεται συγκεκριμένες ηλεκτρονικές τραπεζικές υπηρεσίες και άλλες τοποθεσίες Web. Είναι κωδικοποιημένο για να απαντήσει σε περισσότερες από 300 ιστοσελίδες, με κορυφαία στοχευμένα τα PayPal, Poste Italiane, Capital One, E-Trade και Chase.

Εάν κάποιος πηγαίνει σε τραπεζικό ιστότοπο, παρέχεται ψευδεπίγραφος τύπος που φαίνεται να αποτελεί μέρος του νόμιμου ιστότοπου, αλλά ζητά μια σειρά δεδομένων που κανονικά δεν θα ζητούσε μια τράπεζα, όπως ένα PIN (αριθμός προσωπικής ταυτότητας) ή ένας αριθμός πιστωτικής κάρτας.

Ιστοσελίδες που χρησιμοποιούν Η κρυπτογράφηση SSL (Secure Sockets Layer) δεν είναι ασφαλής εάν χρησιμοποιείται από έναν υπολογιστή με Torpig / Sinowal, αφού το κακόβουλο λογισμικό θα τραβήξει πληροφορίες πριν κρυπτογραφηθεί, γράφουν οι ερευνητές.

Οι χάκερ συνήθως πωλούν κωδικούς πρόσβασης και τραπεζικές πληροφορίες σε υπόγεια φόρουμ άλλους εγκληματίες, οι οποίοι προσπαθούν να αποκρύψουν τα στοιχεία σε μετρητά. Ενώ είναι δύσκολο να εκτιμηθεί με ακρίβεια η αξία των πληροφοριών που συλλέχθηκαν κατά τη διάρκεια των 10 ημερών, θα μπορούσε να αξίζει από $ 83.000 έως $ 8.3 εκατομμύρια, σύμφωνα με το ερευνητικό έγγραφο.

Υπάρχουν τρόποι για να διαταράξετε τα botnets όπως το Torpig / Sinowal. Ο κώδικας botnet περιλαμβάνει έναν αλγόριθμο που δημιουργεί ονόματα τομέων που ο κακόβουλος χρήστης καλεί για νέες οδηγίες.

Οι μηχανικοί ασφαλείας συχνά κατάφεραν να κατανοήσουν αυτούς τους αλγόριθμους για να προβλέψουν σε ποιους τομείς θα καλέσουν το κακόβουλο λογισμικό και να προεγκαταστήσουν αυτούς τους τομείς για να διαταράξουν botnet. Ωστόσο, είναι μια δαπανηρή διαδικασία. Ο σκουλήκι Conficker, για παράδειγμα, μπορεί να παράγει έως και 50.000 ονόματα domain ημερησίως.

Οι καταχωρητές, εταιρείες που πωλούν καταχωρήσεις ονομάτων τομέα, θα πρέπει να παίρνουν μεγαλύτερο ρόλο στη συνεργασία με την κοινότητα ασφαλείας, γράφουν οι ερευνητές. Αλλά οι καταχωρητές έχουν τα δικά τους ζητήματα

«Με λίγες εξαιρέσεις, συχνά στερούνται τους πόρους, τα κίνητρα ή τον πολιτισμό για να αντιμετωπίσουν ζητήματα ασφάλειας που σχετίζονται με τους ρόλους τους»,