Компания NetWitness обнаружила факты крупнейшей атаки на
сети крупных компаний. По данным специалистов NetWitness, за последние 18
месяцев злоумышленникам удалось вскрыть корпоративные ресурсы около 2’400
компаний и не менее 10 федеральных ведомств США. Сообщается, что многие
пострадавшие компании входят в список Fortune 500 в финансовой и энергетической
отрасли, а также в сфере высоких технологий.
Только за месяц работы специалистам из NetWitness удалось
собрать порядка 75 Гбайт данных, которые были украдены и переданы с зараженных
компьютеров владельцам ботнетов. Примечательно, что масштабы централизованных
краж обнаружились почти случайно, в ходе рядовой проверки сети одного
из клиентов компании NetWitness. Выяснилось, что ПК, зараженный относительно
безобидным ботнетом под названием Grum, запрашивал инструкции у сервера,
зарегистрированного в домене silence7.cn. Дальнейшее расследование показало,
что сервер дал зараженному компьютеру команду загрузить компоненты другого
ботнета, который известен под названием Zeus и считается вторым по
распространенности.
Расследование заражения Grum с последующей загрузкой
компонентов Zeus привело специалистов к неожиданным результатам. Более половины
ПК, зараженных Zeus, содержали также компоненты ботнета Waledac. Вообще, Waledac
считается конкурентом Zeus, но в данном случае специалисты предположили, что
злоумышленники стали комбинировать каналы похищения данных. Если вылечить один
ботнет на зараженном ПК, похищать данные и передавать их владельцам преступной
сети будет следующий ботнет, тем более, что компоненты ботнетов продаются на
черном рынке и их, в принципе, можно научить «взаимодейстовать».
Специалисты NetWitness рассказали, что крупнейший
комбинированный ботнет Zeus/Waledac, в котором насчитывается уже более 74'000
зараженных ПК, живет очень активной жизнью. Только за последний месяц владельцы
ботнета меняли задачи по похищению информации не менее 6 раз. Кроме паролей и
личных данных ботнет передает на свои управляющие серверы огромные массивы
информации, составляющей государственную и коммерческую тайну.
По мнению NetWitness, обнаруженный ботнет начал работу 18
месяцев назад и представляет собой работу хорошо организованной преступной
группы. Непосредственное управление ботнетом осуществляется с серверов,
физически находящихся в Германии и Нидерландах. Доменные имена для ботнета
регистрируются у китайских компаний, возможно, из-за их традиционно долгой
реакции на сообщения о злоупотреблениях.
В настоящее время специалисты NetWitness уже уведомили
федеральные органы об атаке и ведут оповещение всех пострадавших компаний,
которые до сих пор не знают о масштабах хищения закрытой информации из своих
сетей. По непроверенной информации издания Wall
Street Journal, в число пострадавших компаний входит фармацевтический
гигант Merck и сеть клиник Cardinal Health. Также есть сообщения о заражении
сетей кинокомпании Paramount Pictures и производителя сетевого оборудования Juniper
Networks. В целом, по данным NetWitness, пострадали организации в 196 странах
мира, а наибольшая концентрация заражений отмечена в Египте, Мексике,
Саудовской Аравии, Турции и США. Новому ботнету пока дали название «kneber» - это
часть почтового адреса на сервисе Yahoo, указанная в качестве контакта во
многих фишинг-атаках этого ботнета. Как сказал Тим Белчнер (Tim Belcher),
технический директор NetWitness, масштабы вскрывшейся катастрофы говорят о том,
что нынешний подход безопасности имеет принципиальные недостатки.
Подробнее о крупномасштабном хищении информации, которое
ведется уже как минимум 18 месяцев неизвестными злоумышленниками с помощью
целой комбинации вирусов и ботнетов, можно прочитать в обзоре на сайте The
Register.
|
