Specjalistom z działającego w NASK zespołu CERT Polska udało się ustalić, że polska infrastruktura sieciowa była wykorzystywana do rozpowszechniania i kontrolowania odmiany botnetu Citadel o nazwie “plitfi”. Dzięki niej cyberprzestępcy mogli śledzić i rejestrować, w formie zrzutów ekranu lub nagrań, aktywności na komputerze atakowanego. Pozwalało im to na przechwytywanie danych logowania w momencie, gdy użytkownik był proszony o ich wprowadzenie. Dodatkowo osoby odpowiedzialne za ataki zyskiwały możliwość dowolnej modyfikacji wyglądu witryny systemu transakcyjnego. Przykładem takiego działania było wyświetlanie komunikatów o rzekomo błędnym przelewie, jaki został dokonany na konto ofiary. Ponadto Citadel umożliwiał przekierowanie danej domeny na inny adres IP w celu zablokowania użytkownikowi dostępu do stron, które mogłyby mu pomóc w usunięciu złośliwego oprogramowania.
Ze względu na fakt wykorzystywania do działalności jednoznacznie szkodliwej dla użytkowników sieci Internet, NASK przejął trzy nazwy domenowe: infocyber.pl, secblog.pl oraz online-security.pl, związane z działaniem wirusa Citadel. Ruch z wyżej wymienionych domen został przekierowany na serwer kontrolowany przez zespół CERT Polska, co umożliwiło gromadzenie i analizę danych dotyczących działalności botnetu. Jak się okazało, dziennie odnotowywano średnio 8 tysięcy połączeń z różnych komputerów. Między 11 marca a 4 kwietnia 2013 roku eksperci z CERT Polska zanotowali całkowitą liczbę 164 323 unikalnych adresów IP zaatakowanych przez Citadel. Dotknięte nim komputery pochodziły z 75 krajów, a największą liczbę połączeń wykonały urządzenia korzystające z polskich adresów sieciowych. Odpowiadały za blisko 80 proc. wszystkich wysyłanych komunikatów.
|
Kraj |
Liczba adresów IP |
Udział procentowy | |
|
1. |
Polska |
127 453 |
77,56% |
|
2. |
Japonia |
14 401 |
8,76% |
|
3. |
Szwecja |
8 716 |
5,30% |
|
4. |
Dania |
2 842 |
1,73% |
|
5. |
Włochy |
2 788 |
1,70% |
|
6. |
Szwajcaria |
1 790 |
1,09% |
|
7. |
Hiszpania |
1 392 |
0,85% |
|
8. |
Estonia |
1 389 |
0,85% |
|
9. |
Niemcy |
621 |
0,38% |
|
10. |
Holandia |
486 |
0,29% |
Tabela: Kraje, z których pochodziło najwięcej połączeń. źródło: Raport “Przejęcie domen instancji plitfi botnetu Citadel”
Przejęte domeny były wykorzystywane do prowadzenia nielegalnych działań i stanowiły realne zagrożenie dla użytkowników Internetu. Złośliwe oprogramowanie atakowało nie tylko użytkowników dostawców usług pocztowych i użytkowników portali społecznościowych, ale przede wszystkim użytkowników takich instytucji jak banki czy firm pośredniczących w płatnościach online. Oznacza to, że w wyniku funkcjonowania wirusa, osoby korzystające z bankowości elektronicznej były narażone na kradzież swoich danych, a przez to wymierne straty finansowe. Działania NASK związane z botnetem Citadel są kolejnym krokiem na rzecz zwiększania bezpieczeństwa sieciowego — mówi Michał Chrzanowski, Dyrektor instytutu badawczego NASK.
Raport “Przejęcie domen instancji botnetu Citadel” dostępny jest na stronie internetowej: http://www.cert.pl/news/6900.