manos_3
01-11-08, 00:03
Τα στοιχεία περίπου 500.000 τραπεζικών λογαριασμών (web bakning), πιστωτικών και χρεωστικών καρτών υποκλάπηκαν από trojan που περιγράφεται ως "ένα από πιο τα εξελιγμένα εργαλεία ηλεκτρονικού εγκλήματος". Το trojan με το όνομα Sinowal εντοπίστηκε από την RSA, εταιρεία που παρέχει υπηρεσίες ηλεκτρονικής ασφάλειας σε μεγάλες επιχειρήσεις.
Η RSA υποστηρίζει πως το trojan μόλυνε υπολογιστές σε όλο τον κόσμο. "Το φαινόμενο πήρε όντως παγκόσμιες διαστάσεις με πάνω από 2000 domains να έχουν εκτεθεί στην επίδραση του", δήλωσε στο BBC ο Sean Brady, στέλεχος της RSA. "Πρόκειται για σοβαρό περιστατικό με αξιοσημείωτη έκταση. Έχουμε εντοπίσει αυξημένο πλήθος κρουσμάτων του trojan αλλά και διάφορων παραλλαγών του, ειδικά στις ΗΠΑ και στον Καναδά".
Το Εργαστήριο Αντιμετώπισης Απάτης της RSA, αναφέρει πως εντόπισε για πρώτη φορά το Sinowal τον Φεβρουάριο του 2006. Από τότε, σύμφωνα με τον κ.Brady, περισσότεροι από 270.000 τραπεζικοί λογαριασμοί και περισσότερες από 240.000 πιστωτικές και χρεωστικές κάρτες εκτέθηκαν σε αυτό, σε χώρες όπως οι ΗΠΑ, η Βρετανία, η Αυστραλία και η Πολωνία. Δεν εντοπίστηκαν Ρώσικοι λογαριασμοί που να έχουν μολυνθεί.
Η RSA περιγράφει τον Sinowal ως "μία από τις πιο σοβαρές απειλές για οποιονδήποτε έχει σύνδεση στο διαδίκτυο", επειδή λειτουργεί στο παρασκήνιο, χρησιμοποιώντας μια συνήθη μέθοδος προσβολής γνωστή και ως "drive-by downloads". Το trojan, που είναι γνωστό και με τα ονόματα Torpig και Mebroot ανανεώνονταν με νέες εκδόσεις.
Το trojan είναι προγραμματισμένο να εκτελείται κάθε φορά που το θύμα επισκέπτεται συγκεκριμένες ιστοσελίδες τραπεζών ή χρηματοπιστωτικών ιδρυμάτων που αριθμούν τις 2700 διευθύνσεις. Στην συνέχεια το trojan πρόσθετε στην σελίδα του browser, παραπάνω πεδία από τα συνήθη και απαιτούμενα, προκειμένου το θύμα να συμπληρώσει το PIN και το ΑΦΜ του.
Ο Sean Brady δήλωσε επίσης πως το πλέον ανησυχητικό στοιχείο της υπόθεσης είναι η διάρκεια ζωής του trojan, που παρέμεινε σε λειτουργία επί σχεδόν 2.5 χρόνια. "Είναι πολύ ενδιαφέρον το γεγονός οτι επί δύο και πλέον χρόνια το trojan μάζευε πληροφορίες χωρίς να έχει εντοπιστεί. Οποιοσδήποτε ειδικός σε θέματα IT μπορεί να σας διαβεβαιώσει για το κόστος που συνεπάγεται η διατήρηση και η αποθήκευση της συσσωρευμένης αυτής πληροφορίας. Η ομάδα που λειτουργούσε το trojan ήταν σίγουρη πως θα αποσβέσει τις επενδύσεις που χρειάστηκαν σε υποδομές - και δεν έχω αμφιβολία για αυτό."
Οι ερευνητές της RSA αποκάλυψαν πως οι δημιουργοί του trojan κυκλοφορούσαν κατά διαστήματα νέες ανανεωμένες παραλλαγές του προκειμένου να μην εντοπιστούν. Μπορεί η RSA να το πρωτό-εντόπισε το 2006 και να γνωρίζει πλέον πολλά για τον σχεδιασμό και την λειτουργία του όμως δεν έχει καταφέρει να εντοπίσει ποιος κρύβεται από πίσω.
"Yπάρχει έντονη συζήτηση αλλά και ενδείξεις πως η προέλευση του trojan είναι η Ρωσία και γενικώς η Ανατολική Ευρώπη. Το ιστορικό της περιοχής δείχνει πως υπάρχει σύνδεση ανάμεσα σε online "συμμορίες" και το Ρωσικό επιχειρηματικό δίκτυο αλλά κανείς δεν μπορεί να ξέρει πραγματικά."
Τον Απρίλιο του 2007 οι ερευνητές της Google ανακάλυψαν εκατοντάδες χιλιάδες ιστοσελίδων που χρησιμοποιούσαν drive-by downloads. Υπολογίζεται πως 1 στις 10 ιστοσελίδες, σε σύνολο 4.5 εκατομμυρίων που αναλύθηκαν, ήταν ύποπτες. Άλλες ερευνητικές ομάδες ανέφεραν το 2008 πως κάθε μέρα "μολύνονταν" 6000 νέες ιστοσελίδες κάθε μέρα. Ή απλώς 14 σελίδες κάθε δευτερόλεπτο.
Μέχρι τον Μάιο, το Sinowal επηρέασε 100.000 web banking λογαριασμούς. Μάλιστα η ομάδα της RSA εντόπισε μια απότομη αύξηση ανάμεσα στον Μάρτιο και τον Σεπτέμβριο του τρέχοντος έτους. Αυτό επιβεβαιώνεται από μία ακόμα εταιρεία ασφάλειας, την Fortinet. Σύμφωνα με αυτήν από τον Ιούλιο μέχρι τον Σεπτέμβριο του 2008 ο αριθμός των επιθέσεων αυξήθηκαν από τα 10 εκατομμύρια στα 30 εκατομμύρια. Στον αριθμό αυτό συμπεριλαμβάνονται trojans, ιοί, malware, phishing και mass mailings.
Προκειμένου να προστατευθούν οι χρήστες ο Derek Manky από την Fortinet συμβουλεύει: "Έχουμε, εμείς εδώ στην εταιρεία ένα ρητό: "Σκέψου πριν συνδεθείς (think before you link). Ο κόσμος νομίζει πως και μόνο η απόρριψη ενός αναδυόμενου παράθυρου ή ενός αρχείου είναι ικανή πρόληψη και δεν συνειδητοποιεί πως και μόνο η επίσκεψη σε μία σελίδα μπορεί να τους βλάψει."
Πηγή: BBC (http://news.bbc.co.uk/2/hi/technology/7701227.stm)
Η RSA υποστηρίζει πως το trojan μόλυνε υπολογιστές σε όλο τον κόσμο. "Το φαινόμενο πήρε όντως παγκόσμιες διαστάσεις με πάνω από 2000 domains να έχουν εκτεθεί στην επίδραση του", δήλωσε στο BBC ο Sean Brady, στέλεχος της RSA. "Πρόκειται για σοβαρό περιστατικό με αξιοσημείωτη έκταση. Έχουμε εντοπίσει αυξημένο πλήθος κρουσμάτων του trojan αλλά και διάφορων παραλλαγών του, ειδικά στις ΗΠΑ και στον Καναδά".
Το Εργαστήριο Αντιμετώπισης Απάτης της RSA, αναφέρει πως εντόπισε για πρώτη φορά το Sinowal τον Φεβρουάριο του 2006. Από τότε, σύμφωνα με τον κ.Brady, περισσότεροι από 270.000 τραπεζικοί λογαριασμοί και περισσότερες από 240.000 πιστωτικές και χρεωστικές κάρτες εκτέθηκαν σε αυτό, σε χώρες όπως οι ΗΠΑ, η Βρετανία, η Αυστραλία και η Πολωνία. Δεν εντοπίστηκαν Ρώσικοι λογαριασμοί που να έχουν μολυνθεί.
Η RSA περιγράφει τον Sinowal ως "μία από τις πιο σοβαρές απειλές για οποιονδήποτε έχει σύνδεση στο διαδίκτυο", επειδή λειτουργεί στο παρασκήνιο, χρησιμοποιώντας μια συνήθη μέθοδος προσβολής γνωστή και ως "drive-by downloads". Το trojan, που είναι γνωστό και με τα ονόματα Torpig και Mebroot ανανεώνονταν με νέες εκδόσεις.
Το trojan είναι προγραμματισμένο να εκτελείται κάθε φορά που το θύμα επισκέπτεται συγκεκριμένες ιστοσελίδες τραπεζών ή χρηματοπιστωτικών ιδρυμάτων που αριθμούν τις 2700 διευθύνσεις. Στην συνέχεια το trojan πρόσθετε στην σελίδα του browser, παραπάνω πεδία από τα συνήθη και απαιτούμενα, προκειμένου το θύμα να συμπληρώσει το PIN και το ΑΦΜ του.
Ο Sean Brady δήλωσε επίσης πως το πλέον ανησυχητικό στοιχείο της υπόθεσης είναι η διάρκεια ζωής του trojan, που παρέμεινε σε λειτουργία επί σχεδόν 2.5 χρόνια. "Είναι πολύ ενδιαφέρον το γεγονός οτι επί δύο και πλέον χρόνια το trojan μάζευε πληροφορίες χωρίς να έχει εντοπιστεί. Οποιοσδήποτε ειδικός σε θέματα IT μπορεί να σας διαβεβαιώσει για το κόστος που συνεπάγεται η διατήρηση και η αποθήκευση της συσσωρευμένης αυτής πληροφορίας. Η ομάδα που λειτουργούσε το trojan ήταν σίγουρη πως θα αποσβέσει τις επενδύσεις που χρειάστηκαν σε υποδομές - και δεν έχω αμφιβολία για αυτό."
Οι ερευνητές της RSA αποκάλυψαν πως οι δημιουργοί του trojan κυκλοφορούσαν κατά διαστήματα νέες ανανεωμένες παραλλαγές του προκειμένου να μην εντοπιστούν. Μπορεί η RSA να το πρωτό-εντόπισε το 2006 και να γνωρίζει πλέον πολλά για τον σχεδιασμό και την λειτουργία του όμως δεν έχει καταφέρει να εντοπίσει ποιος κρύβεται από πίσω.
"Yπάρχει έντονη συζήτηση αλλά και ενδείξεις πως η προέλευση του trojan είναι η Ρωσία και γενικώς η Ανατολική Ευρώπη. Το ιστορικό της περιοχής δείχνει πως υπάρχει σύνδεση ανάμεσα σε online "συμμορίες" και το Ρωσικό επιχειρηματικό δίκτυο αλλά κανείς δεν μπορεί να ξέρει πραγματικά."
Τον Απρίλιο του 2007 οι ερευνητές της Google ανακάλυψαν εκατοντάδες χιλιάδες ιστοσελίδων που χρησιμοποιούσαν drive-by downloads. Υπολογίζεται πως 1 στις 10 ιστοσελίδες, σε σύνολο 4.5 εκατομμυρίων που αναλύθηκαν, ήταν ύποπτες. Άλλες ερευνητικές ομάδες ανέφεραν το 2008 πως κάθε μέρα "μολύνονταν" 6000 νέες ιστοσελίδες κάθε μέρα. Ή απλώς 14 σελίδες κάθε δευτερόλεπτο.
Μέχρι τον Μάιο, το Sinowal επηρέασε 100.000 web banking λογαριασμούς. Μάλιστα η ομάδα της RSA εντόπισε μια απότομη αύξηση ανάμεσα στον Μάρτιο και τον Σεπτέμβριο του τρέχοντος έτους. Αυτό επιβεβαιώνεται από μία ακόμα εταιρεία ασφάλειας, την Fortinet. Σύμφωνα με αυτήν από τον Ιούλιο μέχρι τον Σεπτέμβριο του 2008 ο αριθμός των επιθέσεων αυξήθηκαν από τα 10 εκατομμύρια στα 30 εκατομμύρια. Στον αριθμό αυτό συμπεριλαμβάνονται trojans, ιοί, malware, phishing και mass mailings.
Προκειμένου να προστατευθούν οι χρήστες ο Derek Manky από την Fortinet συμβουλεύει: "Έχουμε, εμείς εδώ στην εταιρεία ένα ρητό: "Σκέψου πριν συνδεθείς (think before you link). Ο κόσμος νομίζει πως και μόνο η απόρριψη ενός αναδυόμενου παράθυρου ή ενός αρχείου είναι ικανή πρόληψη και δεν συνειδητοποιεί πως και μόνο η επίσκεψη σε μία σελίδα μπορεί να τους βλάψει."
Πηγή: BBC (http://news.bbc.co.uk/2/hi/technology/7701227.stm)