Zainfekowane wirusem komputery stają się "komputerami-zombie" - bez wiedzy swoich właścicieli łączą się w sieci, tzw. botnety, które wykorzystywane są często do działań niezgodnych z prawem. Za sprawą botnetu m.in. przeprowadzane są zmasowane ataki sieciowe (tzw. DDoS), ściąganie innego złośliwego oprogramowania, rozsyłany jest spam, czy kradzione są poufne dane. Komputery-zombie polecenia otrzymywać mogą za pośrednictwem domen internetowych.
Botnet Citadel najprawdopodobniej powstał w wyniku wycieku kodu źródłowego innego groźnego wirusa komputerowego o nazwie "Zeus" w 2011 roku.
Atak na internetowe konta bankowe
Specjalistom z NASK udało się ustalić, że polska sieć była wykorzystywana do rozpowszechniania i kontrolowania odmiany botnetu Citadel o nazwie "plitfi". Dzięki niej cyberprzestępcy mogli śledzić i rejestrować, w formie zrzutów ekranu lub nagrań, aktywności na wybranym komputerze.
Pozwalało im to na przechwytywanie danych logowania w momencie, gdy użytkownik był proszony o ich wprowadzenie. Dodatkowo osoby odpowiedzialne za ataki zyskiwały możliwość dowolnej modyfikacji wyglądu witryny systemu transakcyjnego czyli internetowego konta bankowego. Przykładem takiego działania było wyświetlanie komunikatów o rzekomo błędnym przelewie, jaki został dokonany na konto ofiary.
Ponadto Citadel umożliwiał przekierowanie danej domeny na inny adres IP w celu zablokowania użytkownikowi dostępu do stron, które mogłyby mu pomóc w usunięciu złośliwego oprogramowania.
Najwięcej połączeń z polskich domen
Ekspertom z NASK udało się przejąć trzy domeny związane z działaniem wirusa Citadel: infocyber.pl, secblog.pl oraz online-security.pl.
Ruch z tych domen został przekierowany na serwer kontrolowany przez zespół z NASK, co umożliwiło gromadzenie i analizę danych dotyczących wirusa. Jak się okazało, dziennie odnotowywano średnio 8 tys. połączeń z różnych komputerów.
Między 11 marca a 4 kwietnia 2013 roku odnotowano 164 323 unikalnych adresów IP zaatakowanych przez Citadel - podaje teraz NASK. Dotknięte nim komputery pochodziły z 75 krajów, a największą liczbę połączeń wykonały urządzenia korzystające z polskich adresów sieciowych. Odpowiadały za blisko 80 proc. wszystkich wysyłanych komunikatów.
- Złośliwe oprogramowanie atakowało nie tylko użytkowników dostawców usług pocztowych i użytkowników portali społecznościowych, ale przede wszystkim użytkowników takich instytucji jak banki czy firm pośredniczących w płatnościach online. Oznacza to, że w wyniku funkcjonowania wirusa, osoby korzystające z bankowości elektronicznej były narażone na kradzież swoich danych, a przez to wymierne straty finansowe - poinformował w komunikacie Michał Chrzanowski, dyrektor instytutu badawczego NASK.
Jak się chronić?
Aby nasz komputer nie stał się komputerem-zombie, należy dbać o to, by był chroniony przez program antywirusowy, regularnie instalować aktualizacje czy łaty do programów, a w nieznane linki klikać z rozsądkiem.
Czy nasz komputer już jest zombie? Nie jest to takie proste do ustalenia. Wirusy cały czas się zmieniają i występują w różnych wersjach. - Programy antywirusowe nie zapewniają więc w 100 proc. bezpieczeństwa - wyjaśniają eksperci z NASK. Radzą, by korzystać ze stron, które umożliwiają przeskanowanie naszego urządzenia przez wiele różnych programów antywirusowych - wtedy szanse na wykrycie zagrożeń znacznie rosną.
NASK - Naukowa i Akademicka Sieć Komputerowa funkcjonuje jako instytut badawczy, podlega Ministerstwu Nauki i Szkolnictwa Wyższego. Instytucja pełni rolę krajowego rejestru nazw internetowych w domenie ".pl".
Autor: zś//kdj / Źródło: tvn24.pl
Źródło zdjęcia głównego: sxc.hu | Maciej Wężyk