Hlavní navigace

Trojský kůň Sinowal řádil úspěšně po celé tři roky

4. 11. 2008

Sdílet

Jsou útoky hloupé i chytré, tento spadá do druhé kategorie. Gang podvodníků s pomocí speciálního neobvykle navrženého trojského koně mohl páchat svou činnost tři roky a za tu dobu shromáždit asi 300 000 přihlašovacích údajů do internetového bankovnictví a čísel platebních karet.

Jsou útoky hloupé i chytré, tento spadá do druhé kategorie. Gang podvodníků s pomocí speciálního neobvykle navrženého trojského koně mohl páchat svou činnost tři roky a za tu dobu shromáždit asi 300 000 přihlašovacích údajů do internetového bankovnictví a čísel platebních karet.
Příslušný trojský kůň je znám pod jménem Sinowal, Mebroot nebo Torpig.

Firma RSA prohlásila, že se jejím výzkumníkům nakonec podařilo útočníky vystopovat a najít server, na němž byly ukradené údaje uloženy. Zajímavé bylo, že útok s pomocí trojského koně mohl probíhat tři roky, což je vzhledem k obvyklému „životnímu cyklu“ podobných metod velmi dlouhá doba. Nezvyklé je i to, že po celou dobu byl zřejmě v provozu i server shromažďující ukradené údaje. Sinowal během tří let střídal období zvýšení i snížené aktivity a přecházel mezi několika svými variantami.
Existence serveru byla utajena, skupina podvodníků o sobě nedávala vědět a veškeré své aktivity si zajišťovala zřejmě sama, bez vazby na jiné skupiny. Gang přitom postupoval značně „profesionálně“, takže server používal například nástroje pro zajištění vysoké dostupnosti i technologie zálohování. Zřejmě i proto trvalo odhalení tak dlouho.
Infikovaných systémů bylo podle RSA řádově stovky až tisíce. Sinowal tiše číhal na uživatelově počítači, dokud se uživatel nechtěl připojit k serveru karetní společnosti nebo do on-line bankovnictví. Potom uživatele přesměroval na podvodně vytvořenou stránku, zaznamenal údaje zadávané do formulářů a odeslal je na server podvodníků. Zajímavé je, že databáze „citlivých“ stránek obsahovala až 2 700 konkrétních adres webů, což je na tento typ softwaru velké množství. Podvodníci nelitovali času ani úsilí takovou databázi vytvořit.
Sinowal unikal detekci většiny antivirových programů. Maskoval se mimo jiné pomocí rootkitu v MBR sektoru pevného disku. Rozšíření podvodného programu je celosvětové, ovšem s výjimkou Ruska. RSA z toho vyvozuje, že právě odtud zřejmě podvodníci pochází. (Což má být údajně běžná metoda, jak se vyhnout postihu místními orgány; navíc v případě mezinárodních urgencí policie údajně postupuje liknavěji, pokud podvodníci nejsou aktivní i přímo v dané zemi.)

Zdroj: Computerworld.com

Viz také:
Limbo hrozí internetovému bankovnictví přes HTML injection
Gimmiv: Krátce po kritické záplatě Windows se objevil i červ
FBI rozbila síť Dark Market pomocí agentů

Autor článku