Botnety sítě Citadel rozesílaly spamy, vykrádaly osobní data a informace o platebních kartách a v konečném důsledku sloužily i ke krádežím. Jméno dostaly podle stejnojmenného závadného prográmku (malware), který se různými způsoby dostal do počítačů uživatelů a následně je ovládl a připojil je k botnetové síti.
"Zlí hoši dostali ránu na solar," řekl BBC Richard Boscovich, ze společnosti Microsoft, která se na zásahu významnou měrou podílela.
Mezi postižené patřily podle Reuters i známé firmy z peněžního a bankovního sektoru: American Express, Bank of America, Citigroup, Credit Suisse, PayPal, HSBC, JPMorgan Chase, Royal Bank of Canada nebo Wells Fargo, respektive jejich zákazníci. Celkem malware získal data od asi pěti milionů uživatelů.
Je přitom zajímavé, že program byl nastaven tak, aby se neaktivoval v počítačích v Rusku a na Ukrajině. To vede k dohadům, že právě odtud útočníci pocházejí, ale může to být jen zástěrka.
BotnetKoordinovaná síť "zotročených (zombie)" počítačů. Ty jsou napadeny virem, který útočníkům umožní využít jejich výkon a ovládat je. Majitel napadeného počítače ani nemusí vědět, že jeho stroj na nějaký server útočí. |
Miliony počítačů
O velikosti této sítě hovoří informace, které Microsoft k operaci označované jako b54 zveřejnil na svém blogu. Pomocí programu Citadel vzniklo velké množství botnetových sítí. Aktuální zásah vyřadil z provozu podle jedněch zdrojů zhruba tisíc serverů z 1 462 známých, podle jiných všech více než 1 400 serverů, které sítě ovládaly.
Celkem 455 těchto serverů bylo umístěno u hostingových společností v USA. Podařilo se tak osvobodit značné množství z milionů ovládaných počítačů ve zhruba osmdesáti zemích světa. Otázkou zůstává, na jak dlouho. Podle dostupných informací se totiž nepodařilo zajistit ani jednu z 81 osob, která za některou ze sítí stála. Jejich identita není známa, jen přezdívky. Hlavní podezřelý se prý skrývá pod přezdívkou Aquabox.
Závadný software přitom v napadených počítačích dále zůstává, pouze nyní nemá kam odesílat získané informace a nedostává příkazy. Mohlo by tak být jen otázkou času, kdy se provozovatelům těchto sítí podaří k těmto počítačům znovu získat přístup. Microsoft pak na svých stránkách ukazuje postup a nabízí nástroj k odstranění tohoto závadného prográmku.
Softwarový gigant podle svých slov poprvé při takové operaci úzce spolupracoval na FBI, Europolem a dalšími orgány po celém světě. Přitom už má na svém kontě zhruba sedm podobných akcí, jednu takovou provedl letos v únoru.
Botnet za pár tisíc
Citadel byla jedním z největších botnetů, který sloužil k ovládání počítačů především ve Spojených státech, západní Evropě, Hongkongu, Indii a Austrálii.
Malware, který umožnil napadené počítače ovládnout, se objevil v roce 2011 a byl na černém trhu prodáván od zhruba tří tisíc dolarů (přibližně 60 tisíc korun) ve speciálních kitech. Ty základní umožnily provozovateli snadno nastavit a spustit botnet na pirátské verzi Windows XP, k níž mohly být už přibaleny. Další sady obsahovaly například moduly pro infikování počítačů, krádeže prostřednictvím on-line bankovnictví, rozesílání spamu a další.
(DDoS útok - Distributed Denial of Service Attackkoordinace desítek, stovek nebo i tisíců počítačů k zasílání falešných požadavků na určitý server s cílem jeho zahlcení a vyřazení z provozu. |
Botnety Citadel byly používány i k DDoS útokům na webové stránky bankovních domů ve snaze odvést pozornost od krádeží. Součástí služby bylo i diskuzní fórum, kde mohli provozovatelé botnetu navrhnout nové funkce a sdílet nápady o osvědčených postupech.
Bezpečnostní firma Symantec tvrdí, že je Citadel vylepšeným nástupcem podobně fungujícího malwaru Zbot (Zeus), jehož kód unikl právě v roce 2011.