Хакеры использовали сеть из более чем 500 тысяч компьютеров


HacksКомпанией Proofpoint была вычислена группа русскоязычных хакеров, которые допустили всего одну ошибку. Установлено, что основной целью хакеров было похищение реквизитов доступа к популярным системам онлайн-банкинга.

В результате своих неправомерных действий, хакерам удалось скомпрометировать большое количество сайтов, которые работали на CMS Wordpress. Затем киберпреступники инициировали атаку типа Drive-By при помощи ботсети Qbot, а также вредоносного программного обеспечения Qakbot.

Специалисты Proofpoint проанализировали используемое хакерами вредоносное ПО, в результате чего установили, что для сбора похищаемых данных оно использует незащищенную контрольную панель на удаленном сервере. Именно такое решение хакеров и стало в дальнейшем их серьезной ошибкой, а также шагом к их разоблачению.

После изучения данной контрольной панели выяснилось, что она содержала данные о почти 800 тыс. собранных парах логин-пароль. При этом многие из них были действующими и привязаны к системам онлайн-банкинга европейских и американских банков.

Qbot использовал технику Hooking, которая применяется для кражи онлайн-реквизитов. Сессии систем онлайн-банкинга используют шифрование SSL/TLS. Однако Qbot допускал ряд ошибок, связанных с передачей информации, после того как браузер зашифровал данные для передачи.

Т.е., когда браузер конечного пользователя компрометировался атакующими, то те скрипты, которые добавляли хакеры, вызывали переход на сторонние страницы, а затем и запуск нежелательного программного обеспечения.

Также эксперты установили, что Сеть киберпреступники брали в аренду, а затем передавали в субаренду для проведения других незаконных операций.


Обновлено (11.10.2014 02:20)