Za zneužitím 2 miliónů účtů stojí Pony

5. 12. 2013

Sdílet

 Autor: © Gunnar Assmy - Fotolia.com
Přihlašovací údaje ke 2 miliónům účtů z Facebooku, Twitteru nebo Googlu byly nalezeny na jednom nizozemském serveru, který je součástí většího botnetu.

Další ze společností, jejichž uživatelé mohou na zmiňovaném serveru narazit na svá data, je ADP, která se zabývá vývojem softwaru pro správu mzdových nákladů a lidských zdrojů.

„Obecně lze očekávat, že kyberzločinci půjdou po velkých internetových službách, ovšem v tomto případě může mít zneužití uživatelských účtů vážné finanční následky,“ píše bezpečnostní výzkumník Daniel Chechik na oficiálním blogu své mateřské společnosti Trustwave SpiderLabs, která server objevila.

Jak na svém webu uvádí samotná ADP, jen v USA přes její software ve fiskálním roce 2013 proteklo přes 1,4 bilionu dolarů. To znamená, že každý šestý pracovník v zemi dostal výplatu od ADP.

Nejvíce údajů bylo odcizeno z Facebooku – přesně 318 121. Následuje Yahoo s 59 549 a Google s 54 437 účty. Na seznamu napadených služeb byste dále našli LinkedIn, Twitter a dvě ruské sociální sítě – VKontaktě a Odnoklassniki. Botnet také zneužil velké množství přihlašovacích údajů k účtům FTP a vzdáleným plochám.

Dlouho nebylo jasné, jaký malware byl k napadení cizích zařízení vlastně použit. V Trustwave na přihlašovací údaje narazili poté, co získali přístup k ovládacímu panelu botnetu. Ukázalo se, že řídící server je řízen softwarem zvaným Pony.

Server, na který se ukládaly odcizené přihlašovací údaje, získával informace z jedné holandské IP adresy. To podle bezpečnostních expertů znamená, že útočníci používají pro přenos mezi infikovanými počítači a řídícím serverem reverzní proxy nebo gateway.

Použitím reverzní proxy se útočníci obvykle snaží zabránit odhalení a následnému vypnutí řídícího serveru. Při sledování odchozí komunikace z infikovaných počítačů se totiž zobrazí pouze připojení k serveru proxy, který lze v případě vypnutí snadno nahradit.

ICTS24

Podle výzkumníků se zdá, že odcizené přihlašovací údaje patří uživatelům ve 102 zemích. Podle Chechika by se tedy dalo říci, že šlo o globální útok.

Výzkumníci také provedli analýzu zneužitých hesel. Ukázalo se, že velké množství uživatelů používalo hesla skládající z jediného typu znaků (např. pouze po sobě jdoucí čísla). Vyloženě špatných však bylo jen 6 % hesel a spíše špatných pak dalších 28 %. 44 % hesel by se podle výzkumníků dalo označit za středně bezpečné.