California Üniversitesi'nden araştırmacılar, 10 gün boyunca iyi bilinen ve güçlü bir bilgisayar korsanlığı ağının kontrolünü ele geçirdiler ve kişisel ve finansal verileri nasıl çalacağını anladılar.

Araştırmacılar bilgisayarları kontrol etmek için bilgisayar korsanlarının kullandığı komut ve kontrol ağı içindeki bir zayıflığı kullanarak 180.000'den fazla bilgisayar korsanlığını izleyebildi. Ancak, sadece 10 gün boyunca çalıştı, ancak bilgisayar korsanları 13 sayfalık makaleye göre komut ve kontrol talimatlarını güncelledi.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Yine de, Torpig / Sinowal'ın veri toplama gücünü görmek için bir pencere yeterliydi. Bu kısa sürede, kesilen bilgisayarlardan yaklaşık 70G bayt veri toplandı.

Araştırmacılar verileri sakladılar ve ABD Federal Soruşturma Bürosu, ISS'ler ve hatta ABD Savunma Bakanlığı gibi emniyet teşkilatlarıyla birlikte çalışıyorlar. kurban. ISP'ler ayrıca, saldırıya uğramış makinelere yeni komutlar vermek için kullanılan bazı Web sitelerini de kapattılar, yazdılar.

Torpig / Sinowal, aynı zamanda Outlook, Thunderbird ve Eudora gibi e-posta istemcilerinden gelen kullanıcı adlarını ve parolaları da toplayabilir spammerler tarafından kullanılmak üzere bu programlardaki e-posta adresleri. Ayrıca, Web tarayıcılarından şifreler de toplayabilir.

Torpig / Sinowal, bir bilgisayarın, sürücü tarafından karşıdan yükleme karşıdan yükleme saldırısı olarak bilinen bir yazılım olup olmadığını test etmek üzere tasarlanmış kötü amaçlı bir Web sitesini ziyaret ederse, PC'ye bulaşabilir. Bilgisayar savunmasızsa, rootkit adı verilen düşük seviyeli bir zararlı yazılım parçası sisteme girer.

Araştırmacılar, Torpig / Sinowal'ın bir rootkit olan Mebroot tarafından ilk bulaştıktan sonra bir sistemde bittiğini fark etti. Aralık 2007'de göründü.

Mebroot, bilgisayarın çalıştırılmasından sonra işletim sisteminin önyükleme yaptığı ilk bilgisayar olan bir bilgisayarın Ana Önyükleme Kaydı'nı (MBR) bozar. Mebroot, bilgisayardan ayrılan herhangi bir veriyi yakalayabildiğinden güçlüdür.

Mebroot, başka bir kodu da bilgisayara yükleyebilir.

Torpig / Sinowal, bir kişi belirli bir çevrimiçi bankacılık ve diğer Web sitelerini ziyaret ettiğinde verileri toplamak için özelleştirilir. En çok hedeflenenler PayPal, Poste Italiane, Capital One, E-Trade ve Chase bankası olmak üzere 300'den fazla Web sitesine yanıt vermek için kodlanmış.

Bir kişi bir bankacılık web sitesine giderse, Meşru sitenin bir parçası gibi görünen sahte bir form gönderilir, ancak bir PIN'in (kişisel kimlik numarası) veya bir kredi kartı numarası gibi bir bankanın normalde talep etmeyeceği bir dizi veri ister.

Araştırmacılar şifrelenmeden önce bilgi toplayacağından, SSL (Güvenli Yuva Katmanı) şifrelemenin Torpig / Sinowal ile bir PC tarafından kullanıldığında güvenli olmaması güvenliğini sağladı.

Hackerlar genellikle yeraltı forumlarında parola ve bankacılık bilgilerini satıyorlar. Verileri paraya çevirmeye çalışan diğer suçlular. Araştırmacı, 10 gün boyunca toplanan bilgilerin değerini kesin olarak tahmin etmek zor olsa da, 83.000 ila 8,3 milyon ABD Doları arasında bir değere sahip olabilir.

Torpig / Sinowal gibi botnet'leri bozmanın yolları var. Botnet kodu, kötü amaçlı yazılımın yeni talimatlar için çağırdığı alan adlarını üreten bir algoritma içerir.

Güvenlik mühendisleri, genellikle, kötü amaçlı yazılımların hangi etki alanlarını arayacağını tahmin etmek için bu algoritmaları bulmayı başarmış ve bu alan adlarını dağıtmak için bu alanları önceden bildirmişlerdir. botnet. Bununla birlikte, pahalı bir süreçtir. Conficker solucanı, örneğin, günde 50.000'e kadar alan adı üretebilir.

Araştırmacılar, alan adı tescilleri satan firmaların güvenlik topluluğuyla işbirliğinde daha büyük rol almaları gerektiğini yazdı. Ancak kayıt memurlarının kendi sorunları var.

"Birkaç istisna dışında, rolleriyle ilgili güvenlik sorunlarıyla uğraşmak için genellikle kaynak, teşvik veya kültürden yoksunlar," diyor kağıt.