Eksperci z instytutu badawczego NASK przejęli trzy polskie domeny internetowe, wykorzystywane do rozpowszechniania i zarządzania odmianą groźnego wirusa o nazwie Citadel. Wśród ofiar wirusa, który zainfekował co najmniej 164 tys. adresów IP na całym świecie znaleźli się głównie polscy użytkownicy serwisów finansowych. Jest to kolejna, po przejęciu ponad 40 domen obsługujących zainfekowanych wirusem Virut, akcja NASK wymierzona w cyberprzestępców.
Zainfekowane wirusem komputery stają się "komputerami-zombie" - bez wiedzy swoich właścicieli łączą się w sieci, tzw. botnety, które wykorzystywane są często do działań niezgodnych z prawem. Za sprawą botnetu m.in. przeprowadzane są zmasowane ataki sieciowe (tzw. DDoS), ściąganie innego złośliwego oprogramowania, rozsyłany jest spam, czy kradzione są poufne dane. Komputery-zombie polecenia otrzymywać mogą za pośrednictwem domen internetowych.
Botnet Citadel najprawdopodobniej powstał w wyniku wycieku kodu źródłowego innego groźnego wirusa komputerowego o nazwie "Zeus" w 2011 roku.
Atak na internetowe konta bankowe
Specjalistom z NASK udało się ustalić, że polska sieć była wykorzystywana do rozpowszechniania i kontrolowania odmiany botnetu Citadel o nazwie "plitfi". Dzięki niej cyberprzestępcy mogli śledzić i rejestrować, w formie zrzutów ekranu lub nagrań, aktywności na wybranym komputerze.
Pozwalało im to na przechwytywanie danych logowania w momencie, gdy użytkownik był proszony o ich wprowadzenie. Dodatkowo osoby odpowiedzialne za ataki zyskiwały możliwość dowolnej modyfikacji wyglądu witryny systemu transakcyjnego czyli internetowego konta bankowego. Przykładem takiego działania było wyświetlanie komunikatów o rzekomo błędnym przelewie, jaki został dokonany na konto ofiary.
Ponadto Citadel umożliwiał przekierowanie danej domeny na inny adres IP w celu zablokowania użytkownikowi dostępu do stron, które mogłyby mu pomóc w usunięciu złośliwego oprogramowania.
Najwięcej połączeń z polskich domen
Ekspertom z NASK udało się przejąć trzy domeny związane z działaniem wirusa Citadel: infocyber.pl, secblog.pl oraz online-security.pl.
Ruch z tych domen został przekierowany na serwer kontrolowany przez zespół z NASK, co umożliwiło gromadzenie i analizę danych dotyczących wirusa. Jak się okazało, dziennie odnotowywano średnio 8 tys. połączeń z różnych komputerów.
Między 11 marca a 4 kwietnia 2013 roku odnotowano 164 323 unikalnych adresów IP zaatakowanych przez Citadel - podaje teraz NASK. Dotknięte nim komputery pochodziły z 75 krajów, a największą liczbę połączeń wykonały urządzenia korzystające z polskich adresów sieciowych. Odpowiadały za blisko 80 proc. wszystkich wysyłanych komunikatów.
- Złośliwe oprogramowanie atakowało nie tylko użytkowników dostawców usług pocztowych i użytkowników portali społecznościowych, ale przede wszystkim użytkowników takich instytucji jak banki czy firm pośredniczących w płatnościach online. Oznacza to, że w wyniku funkcjonowania wirusa, osoby korzystające z bankowości elektronicznej były narażone na kradzież swoich danych, a przez to wymierne straty finansowe - poinformował w komunikacie Michał Chrzanowski, dyrektor instytutu badawczego NASK.
Jak się chronić?
Aby nasz komputer nie stał się komputerem-zombie, należy dbać o to, by był chroniony przez program antywirusowy, regularnie instalować aktualizacje czy łaty do programów, a w nieznane linki klikać z rozsądkiem.
Czy nasz komputer już jest zombie? Nie jest to takie proste do ustalenia. Wirusy cały czas się zmieniają i występują w różnych wersjach. - Programy antywirusowe nie zapewniają więc w 100 proc. bezpieczeństwa - wyjaśniają eksperci z NASK. Radzą, by korzystać ze stron, które umożliwiają przeskanowanie naszego urządzenia przez wiele różnych programów antywirusowych - wtedy szanse na wykrycie zagrożeń znacznie rosną.
NASK - Naukowa i Akademicka Sieć Komputerowa funkcjonuje jako instytut badawczy, podlega Ministerstwu Nauki i Szkolnictwa Wyższego. Instytucja pełni rolę krajowego rejestru nazw internetowych w domenie ".pl".
Autor: zś//kdj / Źródło: tvn24.pl
Źródło zdjęcia głównego: sxc.hu | Maciej Wężyk