Bezpieczeństwo

Botnet Kelihos, czyli jak Rosjanie chcieli walczyć z Zachodem

Rosyjska grupa cyberprzestępcza rozprzestrzeniała trojana do cichego atakowania jednostek rządowych.

Kelihos kod

„Jesteśmy grupą hakerów pochodzącą z Federacji Rosyjskiej, jesteśmy zaniepokojeni niezrozumiałymi dla nas sankcjami, które zostały nałożone przez zachodnie rządy na nasz kraj” – taką wiadomość rozsyłała rosyjska grupa cyberprzestępcza, której Kelihos został zaprojektowany tak, by po cichu atakować jednostki rządowe krajów zachodnioeuropejskich oraz Stanów Zjednoczonych. – „Zaprogramowaliśmy naszą odpowiedź na te sankcje i poniżej znajdziecie łącze do naszego programu. Uruchomienie aplikacji na twoim komputerze spowoduje, że zacznie on w ukryty sposób atakować wszystkie agencje rządowe, które przyczyniły się do obecnego stanu”.

Użytkownicy – a wiadomość przesyłana była głównie do tych, którzy z różnych względów wspierali Rosję i nie zgadzali się z nałożonymi na kraj sankcjami – stawali się zatem częścią botnetu i pomagali w dalszym rozprowadzaniu zagrożenia. Wspomniany trojan instalował zaś trzy pliki do monitorowania ruchu sieciowego: WinPcap npf.sys, pac ket.dll i wpcap.dll. Są one w stanie wydobyć różnego typu informacje z przeglądarek internetowych i nie tylko. Jak informują eksperci z laboratorium Bitdefender, w skrajnych sytuacjach Kelihos potrafi:

  • komunikować się z innymi zainfekowanymi komputerami,
  • kraść portfele bitcoinów,
  • rozsyłać wiadomości ze spamem,
  • kraść dane autoryzacyjne FTP i poczty elektronicznej, jak również dane dostępowe do tych kont wprowadzone do przeglądarki,
  • pobierać i wykonywać inne złośliwe pliki oprogramowania na zainfekowanym systemie,
  • monitorować ruchu protokołów FTP, POP3 oraz SMTP.

Eksperci przeanalizowali jedną z ostatnich fal spamu, dzięki czemu udało się ustalić statystyki i utworzyć mapę infekcji:

Kelihos mapa

„Niektóre z nich mogą być wyspecjalizowanymi serwerami do dystrybucji złośliwego oprogramowania, a pozostałe zainfekowanymi komputerami, które stały się częścią botnetu Kelihosa” – komentuje Pracująca dla Bitdefendera w Dziale Analizy Wirusów Doina Cosovan. „Ironią jest to, iż większość zainfekowanych adresów IP pochodzi z Ukrainy. To może oznaczać, że atak był wymierzony w głównej mierze w komputery w tym kraju lub nawet, że same serwery infekujące zostały umieszczone właśnie w tym kraju”.

Botnet Kelihos został odkryty cztery lata temu. Jak widać cyberprzestępcy nadal potrafią zrobić z niego użytek. Jak możemy uchronić swój komputer przed staniem się częścią botnetu? Przede wszystkim nie powinniśmy otwierać podejrzanych wiadomości e-mail i znajdujących się w nich załączników. Aktywne i aktualne oprogramowanie antywirusowe także jest nie bez znaczenia.

Źródło: Bitdefender

Komentarze

13
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Konto usunięte
    25
    Cześć, jestem wirusem, kliknięcie w załącznik zainfekuje Twój komputer, proszę zrób to w imię mateczki rossyi. Dziękuję.

    Co robię? Oczywiście, że klikam... ;)
    • avatar
      Ryuhoshi
      6
      Nienawidzę cyberprzestępców.
      • avatar
        Kiciulek
        5
        Nie dało się mniejszej mapki wstawić?
        • avatar
          Konto usunięte
          4
          Włoskie botnety też są bardzo upierdliwe, bo jakiś geniusz z włoskiej telekomunikacji porozdawał routery z serwerem web, a to wszystko z loginem i hasłem: admin / admin.
          Ukraiński internet to jeszcze większy syf. Praktycznie same botnet'y.
          • avatar
            Konto usunięte
            0
            „Ironią jest to, iż większość zainfekowanych adresów IP pochodzi z Ukrainy. To może oznaczać, że atak był wymierzony w głównej mierze w komputery w tym kraju lub nawet, że same serwery infekujące zostały umieszczone właśnie w tym kraju”.

            Te chłopki pańszczyźniane po prostu nie potrafią posługiwać się komputerem, a na dodatek większość z nich korzysta z windy XP, która jest wymarzonym systemem administratorów bot-net'ów. To żadna ironia, tylko naturalna konsekwencja stanu rzeczy.
            • avatar
              PL_SBX
              -1
              Polecam używać linuxa, najnowszych wersji windowsa z aktualizacjami i GŁOWY. Nie żartuje sobie. Ja nie posiadam autywirusa ani nic a jedyne wirusy znalezione przez skaner online od esetu to aplikacje typu toolbary które sam pobrałem.
              • avatar
                shoken
                0
                Teraz sa modne takie rozwiazania troche tego troche tego np. samochody hybrydowe czyli z napedem spalinowym i elektrycznym to ja to stosuje ale w pojeciu komputerowym czyli tylko do gier uzywam windowsa a reszte rzeczy robie na VM w linuksie.No to jest takie hybrydowe rozwiazanie ktore sam wymyslilem.Np. mam 1 VM od paypala i przelewow karta ,drugi VM od transferow bank do bank i 3 VM do pisania na forach roznych.I to jest hybryda no ale procekl tez trzeba miec jakis niezly i troche RAM w komputerze.