Computerworld News Service: Sikkerhedseksperter fra virksomheden NetWitness har afdækket et massivt botnet, der kontrollerer mindst 75.000 computere fra 2.500 virksomheder og statslige institutioner fra hele verden.
Kneber-botnettet, der har fået navn efter det brugernavn, der forbinder alle de ramte computere, har været brugt i de sidste 18 måneder til at indsamle login-oplysninger til online-finanssystemer, sociale netværk og e-mailsystemer, oplyser NetWitness.
En cache på 75 gigabyte stjålne data, som NetWitness opdagede, inkluderede 68.000 login-oplysninger fra erhvervslivet, login-oplysninger til brugerkonti på Facebook, Yahoo og Hotmail, 2.000 SSL-certifikatfiler og en stor mængde detaljerede persondata.
Herudover giver de systemer, der er kompromitteret af botnettet, hackerne fjernadgang til systemernes netværk, advarer NetWitness.
"Det foruroligende er, at disse data blot var et månedsgammelt øjebliksbillede af data fra en kampagne, der har kørt i over et år," fortæller NetWitness.
Rammer mange lande
Netwitness har ikke offentliggjort navnene på de virksomheder, som angrebet har kompromitteret, men beskriver angrebet som yderst målrettet og velkoordineret. En artikel onsdag i Wall Street Journal, identificerer dog Merck & Co., Cardinal Health Inc., Paramount Pictures and Juniper Networks Inc. som nogle af de amerikanske virksomheder, der er blevet infiltreret. 10 af USA's statslige organer er også blevet ramt i angrebet.
Angrebet begyndte ifølge Wall Street Journal sidst i 2008 og stammer tilsyneladende fra Europa og Kina. Computere i op mod 196 lande er blevet ramt, hvoraf mange er blevet kompromitteret efter brugere har klikket på links i phising-e-mails til skadelige websites. De fleste af de kompromitterede systemer er tilsyneladende i Egypten, Mexico, Saudi Arabien Tyrkiet og USA, skriver Wall Street Journal med henvisning til en anonym kilde.
Variant af ZeuS-botnettet
NetWitness er leverandør af en række tjenester til netværksovervågning og kriminalteknisk datalogi til erhvervslivet og det offentlige. Virksomheden opdagede botnettet i januar under rutinearbejde for en af dens klienter. Det ny botnet er ifølge virksomheden en variant af ZeuS-botnettet, som primært er kendt for at stjæle bankoplysninger.
Over halvdelen af systemerne i Kneber-botnettet var også inficeret med den konkurrerende trojaner Waledac, sandsynligvis fordi bagmændene ønskede at indbygge redundans i angrebet, siger NetWitness.
"Sameksistensen af ZeuS og Waledac tyder på, at man har sigtet efter modstandsdygtighed og overlevelsesevne, og tyder på et potentielt dybere samarbejde på tværs af fraktionerne i den kriminelle undergrund," bemærker virksomheden.
NetWitness' opdagelse sker kun få uger efter, at Google afslørede, at den og adskillige andre store højteknologiske virksomheder havde været ofre for organiserede cyberangreb, der tilsyneladende kom fra Kina. Begge hændelser understreger, hvad analytikere kalder for den avancerede vedvarende trussel (eng.: advanced persistent threat, APT), som et stigende antal finansielle, kommercielle og offentlige institutioner står overfor.
Dette begreb er i længere tid blevet brugt af stat og militær til at beskrive målrettede cyberangreb, der er udført af særdeles organiserede statssponsorerede cyberbander med stor teknisk formåen og tekniske ressourcer. De involverer ofte også intens overvågning og avanceret såkaldt social engineering.
I mange tilfælde går angrebene målrettet efter højtplacerede individer i en organisation, som narres til at besøge skadelige websites eller downloade skadelig software på deres computere.
Oversat af Thomas Bøndergaard
