Generuj PDF z tej stronie

NASK
Źródło:
http://www.nask.pl/pl/aktualnosci/wydarzenia/wydarzenia-2013/220,NASK-uderza-w-wirusa-atakujacego-polskie-serwis
y-finansowe.html
Wygenerowano: Środa, 8 marca 2017, 03:39
NASK uderza w wirusa atakującego polskie serwisy
finansowe
Eksperci z instytutu badawczego NASK przejęli 3 polskie domeny
internetowe wykorzystywane do rozpowszechniania i zarządzania
odmianą botnetu o nazwie Citadel.
Wśród ofiar wirusa, który zainfekował co najmniej 164 tysiące adresów IP na całym
świecie znaleźli się głównie polscy użytkownicy serwisów finansowych. Jest to kolejna,
po przejęciu ponad 40 domen obsługujących botnet Virut, akcja NASK wymierzona
w cyberprzestępców.
Botnet Citadel najprawdopodobniej powstał w wyniku wycieku kodu źródłowego
innego groźnego wirusa komputerowego o nazwie "Zeus" w 2011 roku. Na jego
podstawie stworzono wiele różnych mutacji złośliwego oprogramowania, wśród
których znalazł się także Citadel. Twórcy odsprzedają oprogramowanie umożliwiające
budowę własnego botnetu wraz z panelem kontrolnym pozwalającym na sterowanie
jego pracą. Dzięki temu klienci mogą samodzielnie infekować wybrane maszyny.
Zaatakowane wirusem urządzenia stają się komputerami-zombie, które bez wiedzy
swoich właścicieli łączą się w sieci i są wykorzystywane często do działań niezgodnych
z prawem. Botnety Citadel, chociaż głównie wykorzystywane do kradzieży poufnych
danych, umożliwiają również ściąganie innego złośliwego oprogramowania, a więc
docelowo również mogą zostać wykorzystane np. do prowadzenie ataków sieciowych
typu DDoS, czy dystrybucji spamu.
Specjalistom z działającego w NASK zespołu CERT Polska udało się ustalić, że polska
infrastruktura sieciowa była wykorzystywana do rozpowszechniania i kontrolowania
odmiany botnetu Citadel o nazwie "plitfi". Dzięki niej cyberprzestępcy mogli śledzić
i rejestrować, w formie zrzutów ekranu lub nagrań, aktywności na komputerze
atakowanego. Pozwalało im to na przechwytywanie danych logowania w momencie,
gdy użytkownik był proszony o ich wprowadzenie. Dodatkowo osoby odpowiedzialne
za ataki zyskiwały możliwość dowolnej modyfikacji wyglądu witryny systemu
transakcyjnego. Przykładem takiego działania było wyświetlanie komunikatów
o rzekomo błędnym przelewie, jaki został dokonany na konto ofiary. Ponadto Citadel
umożliwiał przekierowanie danej domeny na inny adres IP w celu zablokowania
użytkownikowi dostępu do stron, które mogłyby mu pomóc w usunięciu złośliwego
oprogramowania.
Ze względu na fakt wykorzystywania do działalności jednoznacznie szkodliwej dla
użytkowników sieci Internet, NASK przejął trzy nazwy domenowe: infocyber.pl,
secblog.pl oraz online-security.pl, związane z działaniem wirusa Citadel. Ruch z wyżej
wymienionych domen został przekierowany na serwer kontrolowany przez zespół
CERT Polska, co umożliwiło gromadzenie i analizę danych dotyczących działalności
botnetu. Jak się okazało, dziennie odnotowywano średnio 8 tysięcy połączeń z różnych
komputerów. Między 11 marca a 4 kwietnia 2013 roku eksperci z CERT Polska
zanotowali całkowitą liczbę 164 323 unikalnych adresów IP zaatakowanych przez
Citadel. Dotknięte nim komputery pochodziły z 75 krajów, a największą liczbę połączeń
wykonały urządzenia korzystające z polskich adresów sieciowych. Odpowiadały za
blisko 80 proc. wszystkich wysyłanych komunikatów.
- Przejęte domeny były wykorzystywane do prowadzenia nielegalnych działań
i stanowiły realne zagrożenie dla użytkowników Internetu. Złośliwe oprogramowanie
atakowało nie tylko użytkowników dostawców usług pocztowych i użytkowników
portali społecznościowych, ale przede wszystkim użytkowników takich instytucji jak
banki czy firm pośredniczących w płatnościach online. Oznacza to, że w wyniku
funkcjonowania wirusa, osoby korzystające z bankowości elektronicznej były narażone
na kradzież swoich danych, a przez to wymierne straty finansowe. Działania NASK
związane z botnetem Citadel są kolejnym krokiem na rzecz zwiększania
bezpieczeństwa sieciowego - mówi Michał Chrzanowski, Dyrektor instytutu
badawczego NASK.
Raport "Przejęcie domen instancji botnetu Citadel" dostępny jest na stronie
internetowej: http://www.cert.pl/news/6900