Wśród ofiar wirusa, który zainfekował co najmniej 164 tysiące adresów IP na całym świecie znaleźli się głównie polscy użytkownicy serwisów finansowych. Jest to kolejna, po przejęciu ponad 40 domen obsługujących botnet Virut, akcja NASK wymierzona w cyberprzestępców.

Citadel

Botnet Citadel najprawdopodobniej powstał w wyniku wycieku kodu źródłowego innego groźnego wirusa komputerowego o nazwie „Zeus” w 2011 roku. Na jego podstawie stworzono wiele różnych mutacji złośliwego oprogramowania, wśród których znalazł się także Citadel. Twórcy odsprzedają oprogramowanie umożliwiające budowę własnego botnetu wraz z panelem kontrolnym pozwalającym na sterowanie jego pracą. Dzięki temu klienci mogą samodzielnie infekować wybrane maszyny. Zaatakowane wirusem urządzenia stają się komputerami-zombie, które bez wiedzy swoich właścicieli łączą się w sieci i są wykorzystywane często do działań niezgodnych z prawem. Botnety Citadel, chociaż głównie wykorzystywane do kradzieży poufnych danych, umożliwiają również ściąganie innego złośliwego oprogramowania,  a więc docelowo również mogą zostać wykorzystane np. do prowadzenie ataków sieciowych typu DDoS,  czy dystrybucji spamu.

• Specjalistom z działającego w NASK zespołu CERT Polska udało się ustalić, że polska infrastruktura sieciowa była wykorzystywana do rozpowszechniania i kontrolowania odmiany botnetu Citadel o nazwie „plitfi”. Dzięki niej cyberprzestępcy mogli śledzić i rejestrować, w formie zrzutów ekranu lub nagrań, aktywności na komputerze atakowanego. Pozwalało im to na przechwytywanie danych logowania w momencie, gdy użytkownik był proszony o ich wprowadzenie. Dodatkowo osoby odpowiedzialne za ataki zyskiwały możliwość dowolnej modyfikacji wyglądu witryny systemu transakcyjnego. Przykładem takiego działania było wyświetlanie komunikatów o rzekomo błędnym przelewie, jaki został dokonany na konto ofiary. Ponadto Citadel umożliwiał przekierowanie danej domeny na inny adres IP w celu zablokowania użytkownikowi dostępu do stron, które mogłyby mu pomóc w usunięciu złośliwego oprogramowania.

Przejęcie domen

Ze względu na fakt wykorzystywania do działalności jednoznacznie szkodliwej dla użytkowników sieci Internet, NASK przejął trzy nazwy domenowe: infocyber.pl, secblog.pl oraz online-security.pl, związane z działaniem wirusa Citadel. Ruch z wyżej wymienionych domen został przekierowany na serwer kontrolowany przez zespół CERT Polska, co umożliwiło gromadzenie i analizę danych dotyczących działalności botnetu. Jak się okazało, dziennie odnotowywano średnio 8 tysięcy połączeń z różnych komputerów. Między 11 marca a 4 kwietnia 2013 roku eksperci z CERT Polska zanotowali całkowitą liczbę 164 323 unikalnych adresów IP zaatakowanych przez Citadel. Dotknięte nim komputery pochodziły z 75 krajów, a największą liczbę połączeń wykonały urządzenia korzystające z polskich adresów sieciowych. Odpowiadały za blisko 80 proc. wszystkich wysyłanych komunikatów.

Tabela: Kraje, z których pochodziło najwięcej połączeń; Źródło: Raport „Przejęcie domen instancji plitfi botnetu Citadel”

autor: Jan Petersen