BezpieczeństwoNASK walczy z wirusem finansowym > redakcja Opublikowane 16 kwietnia 20130 0 117 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Wśród ofiar wirusa, który zainfekował co najmniej 164 tysiące adresów IP na całym świecie znaleźli się głównie polscy użytkownicy serwisów finansowych. Jest to kolejna, po przejęciu ponad 40 domen obsługujących botnet Virut, akcja NASK wymierzona w cyberprzestępców.Citadel Botnet Citadel najprawdopodobniej powstał w wyniku wycieku kodu źródłowego innego groźnego wirusa komputerowego o nazwie „Zeus” w 2011 roku. Na jego podstawie stworzono wiele różnych mutacji złośliwego oprogramowania, wśród których znalazł się także Citadel. Twórcy odsprzedają oprogramowanie umożliwiające budowę własnego botnetu wraz z panelem kontrolnym pozwalającym na sterowanie jego pracą. Dzięki temu klienci mogą samodzielnie infekować wybrane maszyny. Zaatakowane wirusem urządzenia stają się komputerami-zombie, które bez wiedzy swoich właścicieli łączą się w sieci i są wykorzystywane często do działań niezgodnych z prawem. Botnety Citadel, chociaż głównie wykorzystywane do kradzieży poufnych danych, umożliwiają również ściąganie innego złośliwego oprogramowania, a więc docelowo również mogą zostać wykorzystane np. do prowadzenie ataków sieciowych typu DDoS, czy dystrybucji spamu.Specjalistom z działającego w NASK zespołu CERT Polska udało się ustalić, że polska infrastruktura sieciowa była wykorzystywana do rozpowszechniania i kontrolowania odmiany botnetu Citadel o nazwie „plitfi”. Dzięki niej cyberprzestępcy mogli śledzić i rejestrować, w formie zrzutów ekranu lub nagrań, aktywności na komputerze atakowanego. Pozwalało im to na przechwytywanie danych logowania w momencie, gdy użytkownik był proszony o ich wprowadzenie. Dodatkowo osoby odpowiedzialne za ataki zyskiwały możliwość dowolnej modyfikacji wyglądu witryny systemu transakcyjnego. Przykładem takiego działania było wyświetlanie komunikatów o rzekomo błędnym przelewie, jaki został dokonany na konto ofiary. Ponadto Citadel umożliwiał przekierowanie danej domeny na inny adres IP w celu zablokowania użytkownikowi dostępu do stron, które mogłyby mu pomóc w usunięciu złośliwego oprogramowania.Przejęcie domen Ze względu na fakt wykorzystywania do działalności jednoznacznie szkodliwej dla użytkowników sieci Internet, NASK przejął trzy nazwy domenowe: infocyber.pl, secblog.pl oraz online-security.pl, związane z działaniem wirusa Citadel. Ruch z wyżej wymienionych domen został przekierowany na serwer kontrolowany przez zespół CERT Polska, co umożliwiło gromadzenie i analizę danych dotyczących działalności botnetu. Jak się okazało, dziennie odnotowywano średnio 8 tysięcy połączeń z różnych komputerów. Między 11 marca a 4 kwietnia 2013 roku eksperci z CERT Polska zanotowali całkowitą liczbę 164 323 unikalnych adresów IP zaatakowanych przez Citadel. Dotknięte nim komputery pochodziły z 75 krajów, a największą liczbę połączeń wykonały urządzenia korzystające z polskich adresów sieciowych. Odpowiadały za blisko 80 proc. wszystkich wysyłanych komunikatów. KrajLiczba adresów IPUdział procentowy1.Polska127 45377,56%2.Japonia14 4018,76%3.Szwecja8 7165,30%4.Dania2 8421,73%5.Włochy2 7881,70%6.Szwajcaria1 7901,09%7.Hiszpania1 3920,85%8.Estonia1 3890,85%9.Niemcy6210,38%10.Holandia4860,29%Tabela: Kraje, z których pochodziło najwięcej połączeń; Źródło: Raport „Przejęcie domen instancji plitfi botnetu Citadel”