NASK uderza w wirusa atakującego polskie serwisy finansowe

Eksperci z instytutu badawczego NASK przejęli 3 polskie domeny internetowe wykorzystywane do rozpowszechniania i zarządzania odmianą botnetu o nazwie Citadel.

Komunikat wysłany przez Citadel

Komunikat wysłany przez Citadel

Botnet Citadel najprawdopodobniej powstał w wyniku wycieku kodu źródłowego innego groźnego wirusa komputerowego o nazwie „Zeus” w 2011 roku. Na jego podstawie stworzono wiele różnych mutacji złośliwego oprogramowania, wśród których znalazł się także Citadel. Twórcy odsprzedają oprogramowanie umożliwiające budowę własnego botnetu wraz z panelem kontrolnym pozwalającym na sterowanie jego pracą. Dzięki temu klienci mogą samodzielnie infekować wybrane maszyny. Zaatakowane wirusem urządzenia stają się komputerami-zombie, które bez wiedzy swoich właścicieli łączą się w sieci i są wykorzystywane często do działań niezgodnych z prawem. Botnety Citadel, chociaż głównie wykorzystywane do kradzieży poufnych danych, umożliwiają również ściąganie innego złośliwego oprogramowania, a więc docelowo również mogą zostać wykorzystane np. do prowadzenie ataków sieciowych typu DDoS, czy dystrybucji spamu.

Specjalistom z działającego w NASK zespołu CERT Polska udało się ustalić, że polska infrastruktura sieciowa była wykorzystywana do rozpowszechniania i kontrolowania odmiany botnetu Citadel o nazwie „plitfi”. Dzięki niej cyberprzestępcy mogli śledzić i rejestrować, w formie zrzutów ekranu lub nagrań, aktywności na komputerze atakowanego. Pozwalało im to na przechwytywanie danych logowania w momencie, gdy użytkownik był proszony o ich wprowadzenie. Dodatkowo osoby odpowiedzialne za ataki zyskiwały możliwość dowolnej modyfikacji wyglądu witryny systemu transakcyjnego. Przykładem takiego działania było wyświetlanie komunikatów o rzekomo błędnym przelewie, jaki został dokonany na konto ofiary. Ponadto Citadel umożliwiał przekierowanie danej domeny na inny adres IP w celu zablokowania użytkownikowi dostępu do stron, które mogłyby mu pomóc w usunięciu złośliwego oprogramowania.

Ze względu na fakt wykorzystywania do działalności jednoznacznie szkodliwej dla użytkowników sieci Internet, NASK przejął trzy nazwy domenowe: infocyber.pl, secblog.pl oraz online-security.pl, związane z działaniem wirusa Citadel. Ruch z wyżej wymienionych domen został przekierowany na serwer kontrolowany przez zespół CERT Polska, co umożliwiło gromadzenie i analizę danych dotyczących działalności botnetu. Jak się okazało, dziennie odnotowywano średnio 8 tysięcy połączeń z różnych komputerów. Między 11 marca a 4 kwietnia 2013 roku eksperci z CERT Polska zanotowali całkowitą liczbę 164 323 unikalnych adresów IP zaatakowanych przez Citadel. Dotknięte nim komputery pochodziły z 75 krajów, a największą liczbę połączeń wykonały urządzenia korzystające z polskich adresów sieciowych. Odpowiadały za blisko 80 proc. wszystkich wysyłanych komunikatów.

Kraj

Liczba adresów IP

Udział procentowy

1.

Polska

127 453

77,56%

2.

Japonia

14 401

8,76%

3.

Szwecja

8 716

5,30%

4.

Dania

2 842

1,73%

5.

Włochy

2 788

1,70%

6.

Szwajcaria

1 790

1,09%

7.

Hiszpania

1 392

0,85%

8.

Estonia

1 389

0,85%

9.

Niemcy

621

0,38%

10.

Holandia

486

0,29%

Tabela: Kraje, z których pochodziło najwięcej połączeń. źródło: Raport „Przejęcie domen instancji plitfi botnetu Citadel”

Przejęte domeny były wykorzystywane do prowadzenia nielegalnych działań i stanowiły realne zagrożenie dla użytkowników Internetu. Złośliwe oprogramowanie atakowało nie tylko użytkowników dostawców usług pocztowych i użytkowników portali społecznościowych, ale przede wszystkim użytkowników takich instytucji jak banki czy firm pośredniczących w płatnościach online. Oznacza to, że w wyniku funkcjonowania wirusa, osoby korzystające z bankowości elektronicznej były narażone na kradzież swoich danych, a przez to wymierne straty finansowe. Działania NASK związane z botnetem Citadel są kolejnym krokiem na rzecz zwiększania bezpieczeństwa sieciowego — mówi Michał Chrzanowski, Dyrektor instytutu badawczego NASK.

Raport „Przejęcie domen instancji botnetu Citadel” dostępny jest na stronie internetowej: http://www.cert.pl/news/6900.