Botnet Probe הופכת 70G בתים של נתונים אישיים, פיננסיים

חוקרים מאוניברסיטת קליפורניה השתלטו על רשת ידועה ורבת עוצמה של מחשבים פרוצים במשך 10 ימים, צוברים תובנה כיצד היא גונבת נתונים אישיים ופיננסיים. <

הבוטנט, המכונה Torpig או Sinwal, הוא אחד מהרשתות המתוחכמות ביותר המשתמשות בתוכנות זדוניות שקשה לזהותן כדי להדביק מחשבים, ולאחר מכן לאסוף נתונים כגון סיסמאות דואר אלקטרוני ואישורים בנקאיים מקוונים. הצליחו לפקח על יותר מ -180,000 מחשבים שנפרצו על-ידי ניצול חולשה בתוך רשת הפיקוד והבקרה שבה השתמשו האקרים כדי לשלוט במחשבים. זה רק עבד במשך 10 ימים, עם זאת, עד שהאקרים עדכנו את הוראות הפקודה והבקרה, על פי מאמר של 13 דפים. [

[לקריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows]

ובכל זאת, זה היה מספיק חלון כדי לראות את הנתונים איסוף כוח של Torpig / Sinual. בזמן קצר זה, כ -70 ג'יגה בייטים של נתונים נאספו ממחשבים פרוצים.

החוקרים אוחסנו את הנתונים ועובדים עם רשויות אכיפת החוק, כגון משרד החקירות הפדרלי של ארה"ב, ספקי שירותי אינטרנט ואפילו משרד ההגנה האמריקני להודיע קורבנות. ספקיות שירותי אינטרנט גם סגרו כמה אתרי אינטרנט ששימשו לאספקת פקודות חדשות למכונות הפרוצים, הם כתבו.

Torpig / Sinowal יכול לגייס שמות משתמשים וסיסמאות של לקוחות דואר אלקטרוני כגון Outlook, Thunderbird ו- Eudora, תוך איסוף כתובות דואר אלקטרוני בתוכניות אלה לשימוש על ידי שולחי דואר זבל. הוא יכול גם לאסוף סיסמאות מדפדפני אינטרנט.

Torpig / Sinowal יכול להדביק מחשב אישי אם מחשב מבקר באתר אינטרנט זדוני המיועד לבדוק אם במחשב יש תוכנה לא מסודרת, טכניקה הידועה בשם התקפת הורדה באמצעות כונן. אם המחשב הוא פגיע, חלק קטן של תוכנות זדוניות הנקראות rootkit הוא החליק עמוק לתוך המערכת.

החוקרים גילו כי Torpig / Sinowal בסופו של דבר על מערכת לאחר נגוע לראשונה על ידי Mebroot, rootkit אשר הופיע סביב דצמבר 2007.

Mebroot מדביק את המחשב הראשי של האתחול שיא (MBR), את הקוד הראשון המחשב מחפש בעת אתחול מערכת ההפעלה לאחר ה- BIOS פועל. Mebroot הוא חזק, שכן כל הנתונים שעוזבים את המחשב ניתן ליירט.

Mebroot יכול גם להוריד קוד אחר למחשב.

Torpig / Sinowal מותאם אישית לתפוס נתונים כאשר אדם מבקר בנקאות מקוונת מסוימת ואתרי אינטרנט אחרים. הוא מקודד כדי להגיב על יותר מ -300 אתרי אינטרנט, עם אלה ממוקדות העליון להיות PayPal, Poste Italiane, קפיטל אחד, E-Trade ו- Chase הבנק, נכתב במאמר.

אם אדם הולך לאתר בנקאות, נשלח טופס מזויף שנראה כאילו הוא חלק מהאתר הלגיטימי, אך מבקש מגוון של נתונים שבנק לא היה מבקש בדרך כלל, כגון מספר זיהוי אישי (PIN) או מספר כרטיס אשראי.

אתרי אינטרנט המשתמשים SSL (Secure Sockets Layer) אינו בטוח אם משתמשים בו על ידי מחשב עם Torpig / Sinowal, מאחר שהתוכנות הזדוניות יחטפו מידע לפני שהוא מוצפן, כך כותבים החוקרים.

האקרים בדרך כלל מוכרים סיסמאות ומידע בנקאי בפורומים תת-קרקעיים פושעים אחרים, המנסים להסתיר את הנתונים במזומן. למרות שקשה לאמוד במדויק את הערך של המידע שנאסף במשך 10 ימים, הוא יכול להיות שווה בין 83,000 ל -8.3 מיליון דולר, כך עולה ממחקר שפורסם ב -2009. ישנן דרכים להפריע לבוטנטים כגון Torpig / Sinowal. קוד ה- botnet כולל אלגוריתם שמייצר שמות תחומים שהתוכנות הזדוניות קוראות להנחיות חדשות.

מהנדסי אבטחה הצליחו לעתים קרובות להבין את האלגוריתמים הללו כדי לחזות אילו תחומים יפעילו התוכנות הזדוניות, ולרשום מראש את הדומיינים האלה כדי לשבש את. זה תהליך יקר, עם זאת. תולעת Conficker, לדוגמה, יכולה ליצור עד 50,000 שמות דומיינים ביום

רשמים, חברות שמוכרות רישומי שמות מתחם, צריכות לקחת חלק גדול יותר בשיתוף פעולה עם הקהילה הביטחונית. אבל לרשמים יש נושאים משלהם. "עם כמה יוצאים מן הכלל, לעתים קרובות הם חסרים את המשאבים, התמריצים או התרבות כדי להתמודד עם נושאים ביטחוניים הקשורים לתפקידים שלהם", נכתב בעיתון.