Nowe Technologie

NASK walczy z wirusem finansowym

Ostatnia aktualizacja: 16.04.2013 02:08
Eksperci z instytutu badawczego NASK przejęli 3 polskie domeny internetowe wykorzystywane do rozpowszechniania i zarządzania odmianą botnetu o nazwie Citadel.
NASK walczy z wirusem finansowym
Foto: Glow Images/East News

Wśród ofiar wirusa, który zainfekował co najmniej 164 tysiące adresów IP na całym świecie znaleźli się głównie polscy użytkownicy serwisów finansowych. Jest to kolejna, po przejęciu ponad 40 domen obsługujących botnet Virut, akcja NASK wymierzona w cyberprzestępców.

Citadel

Botnet Citadel najprawdopodobniej powstał w wyniku wycieku kodu źródłowego innego groźnego wirusa komputerowego o nazwie „Zeus” w 2011 roku. Na jego podstawie stworzono wiele różnych mutacji złośliwego oprogramowania, wśród których znalazł się także Citadel. Twórcy odsprzedają oprogramowanie umożliwiające budowę własnego botnetu wraz z panelem kontrolnym pozwalającym na sterowanie jego pracą. Dzięki temu klienci mogą samodzielnie infekować wybrane maszyny. Zaatakowane wirusem urządzenia stają się komputerami-zombie, które bez wiedzy swoich właścicieli łączą się w sieci i są wykorzystywane często do działań niezgodnych z prawem. Botnety Citadel, chociaż głównie wykorzystywane do kradzieży poufnych danych, umożliwiają również ściąganie innego złośliwego oprogramowania,  a więc docelowo również mogą zostać wykorzystane np. do prowadzenie ataków sieciowych typu DDoS,  czy dystrybucji spamu.

  • Specjalistom z działającego w NASK zespołu CERT Polska udało się ustalić, że polska infrastruktura sieciowa była wykorzystywana do rozpowszechniania i kontrolowania odmiany botnetu Citadel o nazwie „plitfi”. Dzięki niej cyberprzestępcy mogli śledzić i rejestrować, w formie zrzutów ekranu lub nagrań, aktywności na komputerze atakowanego. Pozwalało im to na przechwytywanie danych logowania w momencie, gdy użytkownik był proszony o ich wprowadzenie. Dodatkowo osoby odpowiedzialne za ataki zyskiwały możliwość dowolnej modyfikacji wyglądu witryny systemu transakcyjnego. Przykładem takiego działania było wyświetlanie komunikatów o rzekomo błędnym przelewie, jaki został dokonany na konto ofiary. Ponadto Citadel umożliwiał przekierowanie danej domeny na inny adres IP w celu zablokowania użytkownikowi dostępu do stron, które mogłyby mu pomóc w usunięciu złośliwego oprogramowania.

Przejęcie domen

Ze względu na fakt wykorzystywania do działalności jednoznacznie szkodliwej dla użytkowników sieci Internet, NASK przejął trzy nazwy domenowe: infocyber.pl, secblog.pl oraz online-security.pl, związane z działaniem wirusa Citadel. Ruch z wyżej wymienionych domen został przekierowany na serwer kontrolowany przez zespół CERT Polska, co umożliwiło gromadzenie i analizę danych dotyczących działalności botnetu. Jak się okazało, dziennie odnotowywano średnio 8 tysięcy połączeń z różnych komputerów. Między 11 marca a 4 kwietnia 2013 roku eksperci z CERT Polska zanotowali całkowitą liczbę 164 323 unikalnych adresów IP zaatakowanych przez Citadel. Dotknięte nim komputery pochodziły z 75 krajów, a największą liczbę połączeń wykonały urządzenia korzystające z polskich adresów sieciowych. Odpowiadały za blisko 80 proc. wszystkich wysyłanych komunikatów.

 

 

Kraj

Liczba adresów IP

Udział procentowy

1.

Polska

127 453

77,56%

2.

Japonia

14 401

8,76%

3.

Szwecja

8 716

5,30%

4.

Dania

2 842

1,73%

5.

Włochy

2 788

1,70%

6.

Szwajcaria

1 790

1,09%

7.

Hiszpania

1 392

0,85%

8.

Estonia

1 389

0,85%

9.

Niemcy

621

0,38%

10.

Holandia

486

0,29%

Tabela: Kraje, z których pochodziło najwięcej połączeń; Źródło: Raport „Przejęcie domen instancji plitfi botnetu Citadel”

 

 



autor: Jan Petersen

Czytaj także

3 mln adresów IP padło ofiarą wirusa

Ostatnia aktualizacja: 11.03.2013 17:09
Co najmniej trzy miliony adresów IP na całym świecie zostało zainfekowanych przez wirus komputerowy o nazwie Virut - wynika z raportu opublikowanego przez zespół CERT Polska, działający w ramach instytutu badawczego NASK. Wirus, który rozprzestrzeniał się za pomocą stron www, był wykorzystywany między innymi do dystrybucji spamu, kradzieży danych oraz ataków DDoS.
rozwiń zwiń