ذكري المظهر

Botnet Probe Turns up 70G Bytes of Personal، Financial Data

16. Side-Channel Attacks

16. Side-Channel Attacks
Anonim

سيطر الباحثون من جامعة كاليفورنيا على شبكة قوية ومعروفة من أجهزة الكمبيوتر التي تم اختراقها لمدة 10 أيام ، واكتسبوا نظرة ثاقبة على كيفية سرقة البيانات الشخصية والمالية.

الروبوتات ، والمعروفة باسم Torpig أو Sinowal ، هي واحدة من الشبكات الأكثر تطوراً التي تستخدم البرامج الضارة التي يصعب اكتشافها لإصابة أجهزة الكمبيوتر وبعد ذلك جني البيانات مثل كلمات سر البريد الإلكتروني والاعتمادات المصرفية عبر الإنترنت.

الباحثون تمكنوا من مراقبة أكثر من 180،000 جهاز كمبيوتر تم اختراقه من خلال استغلال ضعف في شبكة القيادة والتحكم المستخدمة من قبل المتسللين للسيطرة على أجهزة الكمبيوتر. إلا أنها عملت لمدة 10 أيام فقط ، إلى أن قام المخترقون بتحديث تعليمات القيادة والتحكم ، وفقًا لورقة الباحثين المكونة من 13 صفحة.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

ومع ذلك ، كان هذا ما يكفي من النافذة لرؤية قوة جمع البيانات من Torpig / Sinowal. في ذلك الوقت القصير ، تم جمع حوالي 70 جرام من البيانات من أجهزة الكمبيوتر التي تم اختراقها.

قام الباحثون بتخزين البيانات ويعملون مع وكالات إنفاذ القانون مثل مكتب التحقيقات الفيدرالي الأمريكي ومقدمي خدمات الإنترنت ، وحتى وزارة الدفاع الأمريكية للإخطار الضحايا. كما قام مزودو خدمات الإنترنت بإغلاق بعض مواقع الويب التي تم استخدامها لتزويد الأوامر الجديدة للأجهزة التي تم الاستيلاء عليها ، كما كتبوا.

Torpig / Sinowal يمكنه سرقة أسماء المستخدمين وكلمات المرور من عملاء البريد الإلكتروني مثل Outlook و Thunderbird و Eudora مع جمع عناوين البريد الإلكتروني في تلك البرامج لاستخدامها من قبل مرسلي الرسائل غير المرغوب فيها. ويمكنه أيضًا جمع كلمات المرور من متصفحات الويب.

Torpig / Sinowal يمكن أن يصيب جهاز كمبيوتر إذا قام جهاز كمبيوتر بزيارة موقع ويب ضار تم تصميمه لاختبار ما إذا كان الكمبيوتر يحتوي على برنامج غير مرتقب ، وهو أسلوب يعرف باسم هجوم التنزيل من خلال محرك الأقراص. إذا كان الكمبيوتر ضعيفًا ، فإن جزءًا ضارًا من البرامج الخبيثة يسمى rootkit ينزلق داخل النظام.

اكتشف الباحثون أن Torpig / Sinowal ينتهي على نظام بعد الإصابة لأول مرة بواسطة Mebroot ، وهو الجذور الخفية التي ظهرت في ديسمبر / كانون الأول 2007.

Mebroot تصيب سجل التمهيد الرئيسي للكمبيوتر (MBR) ، وهو الرمز الأول الذي يبحث عنه الكمبيوتر عند تشغيل نظام التشغيل بعد تشغيل BIOS. Mebroot قوية لأن أي بيانات تترك الكمبيوتر يمكن اعتراضها.

Mebroot يمكن أيضاً تنزيل رمز آخر إلى الكمبيوتر.

يتم تخصيص Torpig / Sinowal للاستيلاء على البيانات عندما يقوم شخص بزيارة بعض الخدمات المصرفية عبر الإنترنت ومواقع ويب أخرى. وقالت الصحيفة إنه يتم ترميزها للرد على أكثر من 300 موقع على شبكة الإنترنت ، في حين أن أكثر المواقع المستهدفة هي PayPal و Poste Italiane و Capital One و E-Trade و Chase bank.

إذا ذهب شخص إلى موقع على الإنترنت ، يتم تسليم نموذج مزور يبدو أنه جزء من الموقع الشرعي ، ولكنه يطلب مجموعة من البيانات التي لا يطلبها البنك عادة ، مثل رقم التعريف الشخصي (PIN) أو رقم بطاقة الائتمان.

مواقع الويب التي تستخدم إن تشفير SSL (Secure Sockets Layer) غير آمن إذا تم استخدامه بواسطة كمبيوتر شخصي مع Torpig / Sinowal ، حيث أن البرامج الضارة ستقوم بحجب المعلومات قبل تشفيرها.

يقوم الهاكرز عادةً ببيع كلمات المرور والمعلومات المصرفية في المنتديات السرية المجرمين الآخرين ، الذين يحاولون تحويل البيانات إلى نقد. وفي حين أنه من الصعب تقدير قيمة المعلومات التي تم جمعها على مدار 10 أيام بدقة ، فقد تصل قيمتها إلى ما بين 83 ألف دولار إلى 8.3 مليون دولار ، وفقاً لما ورد في البحث.

هناك طرق لتعطيل شبكات الروبوت مثل Torpig / Sinowal. يتضمن رمز botnet خوارزمية تولد أسماء نطاقات تستدعيها البرمجيات الخبيثة للحصول على تعليمات جديدة.

كان مهندسو الأمن في كثير من الأحيان قادرين على معرفة تلك الخوارزميات للتنبؤ بالمجالات التي ستستدعيها البرمجيات الخبيثة ، وإعادة تسجيل تلك النطاقات لتعطيل الروبوتات. إنها عملية مكلفة ، ومع ذلك. يمكن لدودة Conficker ، على سبيل المثال ، توليد ما يصل إلى 50.000 اسم نطاق يوميًا.

وكتب الباحثون انه يتعين على المسجلين والشركات التي تبيع تسجيلات اسم النطاق ان تلعب دورا اكبر في التعاون مع المجتمع الامني. لكن لدى أمناء السجلات قضايا خاصة بهم.

"مع استثناءات قليلة ، فإنهم غالبًا ما يفتقرون إلى الموارد أو الحوافز أو الثقافة للتعامل مع القضايا الأمنية المرتبطة بأدوارهم" ، حسبما ذكرت الصحيفة.