Tento botnet využívá ke svojí činnosti počítače nakažené těžko objevitelným škodlivým kódem, který slouží ke sběru dat jako jsou osobní hesla nebo bankovní informace. Výzkumníci konkrétně monitorovali více než 180 000 hacknutných počítačů, nicméně po 10 dnech útočníci získali kontrolu zpět. V každém případě však měli univerzitní pracovníci zajímavou příležitost nahlédnout do práce botnetu.
Ten za zmíněných 10 dní nasbíral zhruba 70 GB citlivých informací z infikovaných počítačů. Výzkumníci tato data uložili a spolupracují s americkými úřady, aby identifikovali oběti botnetu. Hlavní obsah tvořila hesla z Outlooku, Thunderbirdu či Eudory a také e-mailové adresy z těchto získané aplikací, jež mohou zneužívat spaměři. Sbírána byla také hesla z webových prohlížečů.
Botnet Torpig/Sinowal může infikovat počítač pouhou návštěvou škodlivých webových stránek, které zjistí, zda počítač obsahuje nezáplatovaný software a pokud je zranitelný, pronikne do něj nebezpečný kód, který se usídlí v systému. Výzkumníci konkrétně objevili, že tento botnet infikuje počítač rootkitem označeným jako Mebroot, který se uloží do oblasti na disku označované jako Master Boot Record (MBR), což je první kód, po kterém se počítač poohlíží při startu systému.
Torpig/Sinowal je také nastavený tak, aby sbíral data v případě, že uživatel navštíví web internetového bankovnictví některého ze světových bankovních ústavů – rozlišováno je asi na 300 webů jako PayPal, Poste Italiane, Capital One, E-Trade nebo Chase bank. Uživateli je zobrazen v tomto případě falešný formulář, který se tváří jako regulérní přihlašovací stránka, do které nic netušící oběť vyplní své osobní údaje.
Hackeři pak prodávají ukradená hesla a bankovní informace dalším členům podzemní ekonomiky, kteří se tato získaná data snaží proměnit ve výdělek. Cena informací, získaných během 10 dnů, kdy výzkumníci z kalifornské univerzity botnet monitorovali, může činit až 8,3 milionu dolaru.
Studii, vytvořenou z monitorování botnetu Torpig/Sinowal najdete na webu univerzity, ze které výzkumníci pocházejí.
Unikátní náhled: Jakou hodnotu mají data získaná botnetem?
5. 5. 2009
Výzkumníci z kalifornské univerzity získali na 10 dní přístup k botnetu známého pod názvem Torpig či Sinowal, který je zaměření na odcizování osobních a finančních dat. To jim umožnilo udělat si unikátní přehled o fungování botnetu.
Školení pro IT
PŘEDPLATNÉ
ČLÁNKY DO MAILU