Jak donoszą firmy z branży zabezpieczeń zamknięto sieć botnet Mariposa. Była to potężna sieć zainfekowanych komputerów stworzona do kradzieży informacji. Jej działalność przyniosła straty liczone w milionach dolarów.
Hiszpańskie organy ścigania zatrzymały trzy osoby podejrzane o zarządzanie tą siecią. Mariposa kradła informacje oraz dane dostępowe do kont w portalach społecznościowych i serwisach e-mail, bankowe dane uwierzytelniające oraz numery kart kredytowych. Botnet stale infiltrował osobiste, korporacyjne, rządowe oraz uniwersyteckie adresy IP w ponad 190 krajach.
Botnet został zamknięty i zneutralizowany 23 grudnia 2009 roku dzięki wspólnym wysiłkom ekspertów w dziedzinie zabezpieczeń oraz organów ścigania, w tym firmy Panda Security, Defence Intelligence, FBI i hiszpańskiej Straży Obywatelskiej.
Obejmując ponad 13 milionach zainfekowanych komputerów Mariposa jest jednym z największych botnetów w historii. Christopher Davis, dyrektor generalny Defence Intelligence, który jako pierwszy odkrył botnet Mariposa wyjaśnia: - „Łatwiej byłoby mi podać listę firm z rankingu Fortune 1000, których ochrona nie została naruszona, niż długą listę zagrożonych organizacji”.
Po odkryciu sieci Mariposa w maju 2009 roku Defence Intelligence, Panda Security oraz Georgia Tech Information Security Center stanęły na czele Grupy Roboczej Mariposa, której celem była likwidacja botnetu i ujęcie przestępców przy współpracy innych ekspertów w zakresie bezpieczeństwa oraz międzynarodowych organów ścigania. Na początku tego miesiąca aresztowany został główny botmaster o pseudonimach „Netkairo” i „hamlet1917” oraz bezpośrednio współpracujący z nim operatorzy sieci „Ostiator” i „Johnyloleante”.
W zeszłym roku Grupa Robocza Mariposa przeniknęła do struktur sterowania i kontroli Mariposa w celu obserwowania kanałów komunikacji, z których korzystali podejrzani botmasterzy. Są to typowe kanały przekazujące sprawcom informacje z zarażonych komputerów, podobne do stosowanych w botnetach Zeus, Conficker i Koobface lub innych, wykrytych niedawno w wyniku operacji Google/Aurora.
Po przeanalizowaniu głównych serwerów sterowania i kontroli Grupa Robocza mogła przeprowadzić skoordynowaną, globalną akcję zamknięcia botnetu Mariposa 23 grudnia. Aktualnie Panda Security prowadzi kompleksową analizę złośliwego oprogramowania oraz koordynuje międzynarodową wymianę informacji pomiędzy firmami antywirusowymi w celu zaktualizowania sygnatur.
Najważniejsze informacje ze wstępnej analizy:
- Po zainfekowaniu botem Mariposa administrator sieci instalował inne złośliwe oprogramowanie (m.in. zaawansowane programy typu keylogger przechwytujące wszystko, co jest wpisywane na klawiaturze, trojany bankowe takie jak Zeus, trojany zdalnego dostępu) w celu zdobycia dalszej kontroli na komputerami zombie.
- Botmaster zarabiał na sprzedaży części botnetu, instalacji pasków narzędzi „pay-per-install”, sprzedaży skradzionych danych uwierzytelniających do usług internetowych i wykorzystywaniu informacji bankowych oraz danych kart kredytowych do przeprowadzania transakcji przy pomocy zagranicznych „mułów pieniężnych”.
- Botnet Mariposa rozprzestrzeniał się niezwykle skutecznie poprzez sieci P2P, napędy USB i linki MSN.
Szczegółowy raport z ekspertyzy Panda Security będzie dostępny już wkrótce na stronie: pandalabs.pandasecurity.com.
Typowa sieć botnet i jej mechanizm działania (graf. Cisco)
Źródło: Panda
Komentarze
5