Botnet Probe felgyorsítja a személyes, pénzügyi adatok 70G byte-ját

A Kaliforniai Egyetem kutatói 10 napig átvették a jól ismert és erőteljes hackelt számítógépek hálózatát, és betekintést nyerhettek személyes és pénzügyi adataik ellopásához.

A botnet, az úgynevezett Torpig vagy Sinowal, egyike azon kifinomultabb hálózatoknak, amelyek keményen észlelik a rosszindulatú szoftvereket, hogy megfertőzzék a számítógépeket, és ezután betakarják az adatokat, például az e-mail jelszavakat és az online banki hitelesítő adatokat.

A kutatók képesek voltak több mint 180 000 sérült számítógép megfigyelésére a hackerek által a számítógépek ellenőrzésére használt parancs-és-vezérlő hálózaton belüli gyengeség kihasználásával. Mindössze 10 napig működött mindaddig, amíg a hackerek a kutatók 13 oldalas lapja szerint nem frissítették a parancs-és-vezérlő utasításokat.

[További olvasmány: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]

Ennek ellenére elegendő volt egy ablak, amely a Torpig / Sinowal adatgyűjtő erejét látta. Ebben a rövid idő alatt mintegy 70 GB bájtnyi adat került összegyűjtésre a feltört számítógépekről.

A kutatók tárolták az adatokat, és együttműködnek a bűnüldöző szervekkel, például az Egyesült Államok Szövetségi Nyomozó Irodájával, az internetszolgáltatókkal és még az USA Védelmi Minisztériumával is, áldozatok. Az internetszolgáltatók kikapcsolták azokat a weboldalakat is, amelyeket új parancsok átadására használtak a feltört gépeken.

A Torpig / Sinowal képes az e-mail kliensek, például az Outlook, a Thunderbird és az Eudora felhasználónevét és jelszavát pilferelni, e-mail címeket e programokban a spammerek számára. Szintén gyűjthetsz jelszavakat a webböngészőkből.

A Torpig / Sinowal megfertőzi a számítógépet, ha egy számítógép olyan rosszindulatú weboldalt látogat meg, amelyet arra terveztek, hogy meggyőződjön arról, hogy a számítógép rendelkezik unpatched szoftverrel. Ha a számítógép sérülékeny, akkor a rendszer mélyen elcsúszik az alacsony szintű rosszindulatú szoftver, amelyet rootkit-nek neveznek.

A kutatók rájöttek, hogy a Torpig / Sinowal egy rendszeren végződik, miután először fertőzte meg Mebroot, amely 2007 decemberében jelent meg.

A Mebroot megtámadja a számítógép Master Boot Record-jét (MBR), az első kódot, amelyet a számítógép az operációs rendszer indításakor a BIOS futása után keres. A Mebroot erőteljesen használható, mivel a számítógépet elhagyó összes adat lehallgatható.

A Mebroot más kódot is letölthet a számítógépre.

A Torpig / Sinowal személyre szabott adatok megragadása, amikor egy személy meglátogat bizonyos internetes bankokat és más weboldalakat. A kódolás több mint 300 webes oldalra reagál, a legfontosabb célpontok közé tartozik a PayPal, a Poste Italiane, a Capital One, az E-Trade és a Chase bank. "

hamisított űrlapot kapnak, amely úgy tűnik, hogy része a törvényes webhelynek, de olyan adatsort kér, amelyet a bank általában nem igényelne, például PIN-kódot (személyi azonosító számot) vagy hitelkártya-számot.

A titkosított SSL (Secure Sockets Layer) titkosítás nem biztonságos, ha a számítógép a Torpig / Sinowal-t használta, mivel a rosszindulatú szoftverek titkosítást kapnak, a kutatók azt írják.

A hackerek általában a földalatti fórumokon jelszavakat és bankinformációkat adnak el. más bűnözők, akik megpróbálják fedezni az adatokat készpénzbe. Noha nehéz pontosan megbecsülni a 10 napon belül összegyűjtött információk értékét, ez az érték 83 000 és 8,3 millió dollár közötti érték lehet, a kutatási cikk szerint.

Van olyan mód, amellyel megakadályozhatjuk a botneteket, mint a Torpig / Sinowal. A botnet kód olyan algoritmust tartalmaz, amely olyan tartományneveket generál, amelyeket a rosszindulatú szoftverek új utasításokra hívtak fel.

A biztonsági mérnökök gyakran képesek voltak kideríteni azokat az algoritmusokat, amelyek megjósolhatják, hogy melyik tartományban fogják fel a rosszindulatú programokat, és előzetesen regisztrálják azokat a tartományokat, amelyek megzavarják a botnet. Ez azonban drága folyamat. A Conficker féreg például naponta legfeljebb 50 000 domainnevet generálhat.

A regisztrátorok, a domain név regisztrációjait értékesítő vállalatoknak nagyobb szerepet kell vállalniuk a biztonsági közösséggel való együttműködésben, írta a kutatók. De a regisztrátoroknak vannak saját kérdéseik.

"Néhány kivétellel gyakran hiányoznak az erőforrások, ösztönzők vagy kultúra a szerepükhöz kapcsolódó biztonsági kérdések kezelésére."