Forskare från ett universitet i Kalifornien tog kontroll över ett välkänt och kraftfullt nätverk av hackade datorer under 10 dagar och fick en insikt i hur personlig och finansiell data stjäls.
Den samling datorer, eller botnet, som heter Torpig eller Sinowal är ett av de mer sofistikerade nätverken som använder svårupptäckt skadlig kod för att infektera datorer och samla data så som lösenord och bankkonton.
Forskarna kunde övervaka mer än 180 000 hackade datorer genom att utnyttja en sårbarhet i den kontrollmekanism som används för att styra datorerna. Det fungerade bara under 10 dagar, tills hackarna uppdaterade tjänsten. Men det var nog för att se den kraftfulla datasamling som Torpig/Sinowal samlade. Under en kort tid så skickades 70 gigabyte data från hackade maskiner, skriver de i deras 13-sidiga papper.
Forskarna sparade datan och samarbetar nu med FBI, flera internetoperatörer och till och med amerikanska Department of Defense för att underrätta offer. Internetoperatörer har också stängt ner vissa hemsidor som användes för att skicka kommandon till hackade maskiner.
Torpig/Sinowall kan hämta lösenord från e-postklienter så som Outlook, Thunderbird och Eudora samt lösenord från webbläsare. Infektionen kan ske genom en så kallad ”drive-by attack”. En legitim sida som är sårbar har tagits över och innehåller en osynlig ram med skadlig kod som attackerar webbläsaren. Om en attack lyckas så laddas ett rootkit ner.
Torpig/Sinowal är fördefinierat för att samla lösenord från mer än 300 hemsidor, med toppnamn så som PayPal, Poste Italiane, Capital One, E-Trade och Chase Bank. Om en person besöker en banks hemsida, så möts hon av ett falskt formulär som frågar efter pinkod och kreditkortsnummer.
Hemsidor som använder kryptering (SSL) är inte skyddade från Torpig då den skadliga koden fångar datan innan den blir krypterad, skriver forskarna.
Det finns sätt att motverka dessa botnet, men det är kostsamt. Denna typ av kod använder en algoritm för att skapa domännamn som den ansluter till. Säkerhetstekniker kan förregistrera dessa domännamn för att störa processen, men maskar så som Conficker kan skapa upp till 50 000 dommännamn per dag.
