Botnet Probe kasvattaa 70G Bytes henkilökohtaisia, taloudellisia tietoja

Kalifornian yliopiston tutkijoilla on hallussaan tunnettu ja tehokas verkko hakkeroituja tietokoneita 10 päivän ajan, saaden käsityksen siitä, miten se varastaa henkilökohtaisia ​​ja taloudellisia tietoja.

Botnet, joka tunnetaan nimellä Torpig tai Sinowal, on yksi hienostuneimmista verkostoista, jotka käyttävät haittaohjelmien havaitsemista vaikeasti infektoida tietokoneita ja kerätä sitten tietoja, kuten sähköpostin salasanoja ja verkkopankkitietoja.

Tutkijat pystyivät seuraamaan yli 180 000 hakkeria tietokonetta hyödyntämällä heikkoutta komentokehoteissa, joita hakkerit käyttävät tietokoneiden hallintaan. Se toimi vain kymmenen päivän ajan, kunnes hakkerit päivittivät komentorivi- ja ohjaustiedot tutkijoiden 13-sivuisen paperin mukaan.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Silti tämä riitti ikkunasta nähdäksesi Torpigin / Sinowalin tiedonkeräystehon. Tässä lyhyessä ajassa kerättiin noin 70 g tavua tietoja hakkeroiduista tietokoneista.

Tutkijat tallensivat tietoja ja työskentelevät lainvalvontaviranomaisten, kuten Yhdysvaltain liittovaltion tutkintolaitoksen, Internet-palveluntarjoajien ja jopa Yhdysvaltain puolustusministeriön kanssa, ilmoittamaan uhrit. Internet-palveluntarjoajat ovat myös sulkeneet joitakin Web-sivustoja, joita käytettiin toimittamaan uusia komentoja hakkeroiduille koneille. He kirjoitti.

Torpig / Sinowal voi pilata käyttäjien nimiä ja salasanoja sähköpostiohjelmista, kuten Outlook, Thunderbird ja Eudora. sähköpostiosoitteita näissä ohjelmissa roskapostittajien käyttöön. Se voi myös kerätä salasanoja selaimista.

Torpig / Sinowal voi tartuttaa tietokoneen, jos tietokoneen vierailu on haitallista verkkosivustoa, joka on suunniteltu testaamaan, onko tietokoneella väärennetty ohjelmisto, joka tunnetaan nimellä drive-by download attack.

Tutkijat huomasivat, että Torpig / Sinowal päätyy järjestelmään sen jälkeen, kun sen ensimmäinen tartunta on Mebroot, rootkit. Jos tietokone on haavoittuvassa asemassa, joka ilmestyi joulukuuhun 2007 mennessä.

Mebroot tarttuu tietokoneen pääkäynnistysrekisteriin (MBR), joka on ensimmäinen koodi, jota tietokone etsii, kun käynnistetään käyttöjärjestelmä BIOS: n käynnistyksen jälkeen.

Mebroot voi ladata myös muita koodeja tietokoneeseen.

Torpig / Sinowal on räätälöity tarttumaan tietoihin, kun henkilö vierailee tietyissä verkkopankissa ja muissa WWW-sivustoissa. Se on koodattu vastaamaan yli 300 Web-sivustoon, joiden kohderyhmä on PayPal, Poste Italiane, Capital One, E-Trade ja Chase.

Jos henkilö menee pankkiin, toimitetaan väärennetty lomake, joka näyttää olevan osa laillista sivustoa, mutta pyytää tietoja, joita pankki ei normaalisti pyytäisi, kuten PIN (henkilökohtainen tunnistenumero) tai luottokortin numero.

SSL (Secure Sockets Layer) -salaus ei ole turvallinen, jos tietokone käyttää Torpig / Sinowalia, koska haittaohjelmat tarttuvat tiedot ennen salattua, tutkijat kirjoittavat.

Hakkerit myyvät tavallisesti salasanoja ja pankkitietoja maan alla olevista foorumeista muut rikolliset, jotka yrittävät peittää tiedot käteisenä. Vaikka on vaikea arvioida täsmällisesti 10 päivän aikana kerättyjen tietojen arvoa, se voisi olla arvoltaan 83 000 - 8,3 miljoonaa dollaria, tutkija sanoi.

Torpig / Sinowal, kuten botnet-verkkoja, voi häiritä.

Turvallisuusinsinöörit ovat usein kyenneet selvittämään, mitkä algoritmit voivat ennustaa, mitkä haittaohjelmat vaativat verkkotunnuksia ja ennalta rekisteröidä nämä verkkotunnukset häiritsemään niitä. botnet. Se on kuitenkin kallis prosessi. Esimerkiksi Conficker-mato voi tuottaa jopa 50 000 verkkotunnusta päivässä.

Rekisterinpitäjät, verkkotunnusten rekisteröintiä myyvät yritykset, pitäisi ottaa enemmän roolia yhteistyössä turvallisuusyhteisön kanssa, tutkijat kirjoittavat. Mutta rekisterinpitäjillä on omat kysymyksensä.

"Harva poikkeus, heiltä puuttuu usein resursseja, kannustimia tai kulttuuria käsittelemään heidän rooleihinsa liittyviä turvallisuuskysymyksiä."