Keresés
Hírek
Elsősegély
 Gyorsmentesítés
 Vírparancsolat
Vírusok és férgek
 Mi a vírus?
 Vírusleírások
 Vírushatározó
 Statisztikák
 Mobilvírusok
Spam és tartalomszűrés
 Mi a spam?
 Mire jó a tartalom és      URLszűrés?
 Fogalmak
 Áttekintés
 Statisztikák
Megoldások
 Mit használjunk?
   Vírusok ellen
   Spamek ellen
   A hatékonyság növelése        érdekében
 Ingyenes próbaverziók
 Jótanácsok
 Vírusirtók tesztje
 Lexikon
Hírlevél
Magazin
 Publikációk
 Háttér
 ITBN 2008
Szakértői rovatok
 Jogi háttér
 Elektronikus aláírás
 Fogyasztóvédelem
Letöltés
 Gyorsmentesítés
 Próbaverziók letöltése
Archívum
Ajánló
Hírlevél
Ha elsőként szeretne tudni a legfrissebb vírusokról és a védekezés módjáról, akkor iratkozzon fel ingyenes heti hírlevelelünkre!
Az Ön e-mail címe:
Főoldal > Hírek





Vége a spanyol járványnak

(2010. március 04.)

- The Register nyomán -

Rendőrök és víruskutatók hálójában a veszélyes Pillangó.
Nyomtatható verzió Nyomtatható verzió  | Küldje el ezt a cikket ismerősének Küldje el ezt a cikket ismerősének

Nemrég részletes tájékoztatás jelent meg a Mariposa (pillangó) elnevezésű botnet-hálózat nagy nyilvánosságot kapott leállításával és a fertőzés-sorozatért felelős hackerek letartóztatásával kapcsolatban.

A spanyol eredetű zombi-hadsereget még 2009. májusában fedezte fel Christopher Davis, a kanadai Defence Intelligence netbiztonsági cég vezérigazgatója. A botnet szokatlan mérete kezdettől nyilvánvaló volt - az viszont, hogy a hackerek valójában milyen sok, 12,7 millió (!) fertőzött Windows számítógépet uralnak, csak a vizsgálat végén derült ki.

A kutatók a spanyol Panda antivírus céggel és az atlantai Georgia Műegyetem IT-biztonsági központjával társultak az ügy felderítése érdekében - később pedig a botnet kártétele miatt vizsgálódó FBI és a Spanyol Csendőrség is bekapcsolódott a Mariposa Akciócsoport munkájába. Az együttes erőfeszítés végül a botnet felszámolásához és letartóztatásokhoz vezetett - de előtte túl kellett járniuk a kiberbűnözők eszén.

Vigyáztak a sokat hozó géprabszolgákra

A Mariposa családba tartozó kártevőket főleg P2P fájlcsere-hálózatokon, fertőzött USB adathordozók és ártalmas weblapokra mutató MSN üzenőprogram-hivatkozások segítségével terjesztették a hackerek. Az áldozattá vált gépeken a trójai letöltő-program tevékenysége nyomán nemcsak botnet-kliens, de jelszólopó billentyűzet-naplózó program, Zeus jellegű, netbankolást leleső trójai, vagy illetéktelen távoli hozzáférést lehetővé tevő hátsóajtó kód is települt.

A Mariposa üzemeltetői nem csak az így szerzett adatokkal ellopott banki pénzből profitáltak. A botnet egyes szegmenseit bérbe adták olyan csalóknak, akik a telepítésenként részesedést fizető hamis böngésző-eszköztárak vagy hirdetési hatékonyságot, keresési eredményeket meghamisító kattintó-kliensek távtelepítésével foglalkoztak. A botnetet futtató DDP (Rémálom) nevű csapat ezeken kívül pénzmosást is végzett a neten lopott hitelkártya-számok felhasználásával.

A hackerek maguk is tudatában voltak, hogy milyen veszélyes játékot űznek, ezért szinte mindig titkosított, anonim VPN-elérés segítségével, távolról kezelték a botnet ún. C&C vezérlő-szervereit, hogy az IP-címük alapján ne lehessen azonosítani őket. A Mariposa felszámolására szövetkezett biztonsági csapat ezért inkább a botnet-vezérlés és a fertőzött zombi-gépek közötti kommunikációt igyekezett megfigyelni, illetve feltörni.

Hamar munka ritkán jó

Hatósági segítséggel és a hackerek C&C hálózatát tudtán kívül üzemeltető amerikai CDmon netszolgáltató cég közreműködésével a szakértők 2009. december 23-án megváltoztatták a Mariposa séma által használt DNS-neveket - így hirtelen láthatóvá vált, hogy milyen rengeteg fertőzött gép próbál hiába kapcsolódni a botmesterek új parancsaira várva.

A világ 190 országában és a legnagyobb 1000 amerikai cég felénél megtalálható, összesen 12,7 millió géprabszolga feletti uralomról a kiberbűnözők nem voltak hajlandóak harc nélkül lemondani. Netkairo avagy Hamlet1917 - akinek valódi neve eddig nem került nyilvánosságra - a DPP vezető hackereként rövid időre visszaszerezte a botnet feletti ellenőrzést. Eközben viszont döntő hibát vétett: sietségében elfelejtette bekapcsolni a VPN-funkciót, így láthatóvá vált saját netcíme!

A hackerek ezután újabb ostoba cselekedetre vetemedtek, az összes rendelkezésükre álló zombi gép kapacitását felhasználva ún. DDoS-támadást indítottak, hogy masszív hálózati csomag-elárasztással szorítsák ki a netről a rájuk vadászó Defence Intelligence céget. Ennek a műveletnek a mellékhatásaként egyes kanadai egyetemek és kormányszervek több órára elvesztették a hálózati kapcsolatukat és a banda újabb komoly vádponttal gyarapította a saját bűnlajstromát.

IP-címre házhoz mentek a rendőrök

Miután a VPN-ről egyszer elfeledkező hacker hálózati kapcsolatát nyomon követve földrajzilag is be lehetett határolni a Mariposa-banda tagjait, vád pedig már bőven akadt ellenük, ezután alig két hónap kellett ahhoz, hogy jogsegély keretében az őrizetbe vételre is sor kerüljön: eddig három fiatalembert vittek el a rendőrök, de további letartóztatások is várhatók.

2010. február 3-án először a 31 éves "Netkairo" került rendőrkézre, majd a nála talált bizonyítékra támaszkodva három héttel később a 30 éves "JonyLoLeante"-t és a 25 éves "Ostiator"-t is elfogták. Ők ketten a nevük kezdőbetűi alapján testvérek lehetnek, de valódi személy-azonosságukat a spanyol törvények szerint majd csak a bírósági tárgyalás során hozzák nyilvánosságra.

Addig be kell érnünk a Panda cég kutatóinak előzetes értékelésével, miszerint a Mariposa-banda tagjai a kilétük titkolásán kívül nem rendelkeztek fejlett hacker-képességekkel. Ez a riasztó megállapítás rámutat a modern kártevő-készletek hatékonyságára és egyszerű kezelhetőségére, ami a viszonylag képzetlen kiberbűnözők számára is lehetővé teszi, hogy netszerte nagy kárt és jelentős anyagi veszteséget okozzanak - amíg csak el nem kapják őket!



Partnerünk

Kérdés / Vélemény | GYIK | Sitemap | Impresszum | Jogi feltételek        2004-2010 © Vírushiradó -- 2F 2000 Kft. - Az információ védelmében.