13:16
14/11/2011

Niedawno FBI zakończono operację “Ghost Click“. Trwała kilka lat. Zatrzymano 6 mężczyzn (wiek od 26- 33 lat), którzy podmieniali na zainfekowanych komputerach reklamy i zarobili na tym procederze 14 milionów dolarów.

Podmiana DNS-ów (DNS Changer)

Estońska szajka infekowała komputery złośliwym oprogramowaniem, który podmieniał DNS-y. Wszystkie requesty idące do oryginalnych serwerów reklam były przekierowywane na serwery Estończyków związanych z firmą Esthost.

DNS Changer używany przez przestępców zazwyczaj udawał kodek wideo — trzeba było go pobrać, aby obejrzeć film pornograficzny. DNS Changer był w stanie infekować nie tylko Windows, ale również Apple Mac OS X. (FBI radzi jak usunąć DNS Changera ze swojego systemu)

Jak złapano przestępców?

W 2009 Trend Micro poddało analizie dyski twarde pochodzące z zajętych przez organy ścigania serwerów, na które kierowane były żądania DNS z zainfekowanych maszyn. Na dyskach znaleziono klucze firmy Rove Digital (dzięki nim pracownicy tej firmy łączyli się z serwerami bez hasła). Jak się później okazało, grupa była także odpowiedzialna za infekowanie komputerów fałszywymi antywirusami (i pobieranie opłat za leczenie z wyimaginowanych wirusów).

Big Botnets

Porównanie ubitych botnetów

Ciekawostka

Co ciekawe, zdecydowano się na niewyłączanie fałszywych serwerów DNS. Dlaczego? Wyobrażacie sobie 4 miliony zainfekowanych komputerów, które nagle “tracą dostęp do internetu” i co gorsza masowo dzwonią na help-line? Fałszywe serwery zastąpiono działającymi poprawnie.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

8 komentarzy

Dodaj komentarz
  1. Gdybym ja miał robić coś takiego, to raczej wiązałbym swoich serwerów z jakąkolwiek firmą. A maszynę umieścił najlepiej w Chinach – ale możliwe że tak właśnie zrobili.
    Nie wiem czym są klucze do logowania (chyba nie zwykłe ssh_key), ale lenistwo nie popłaca :-)
    Swoją drogą: kilka lat pracy FBI (strzelam: ~5mln USD), wykryte nadużycia na 14mln USD, zatrzymano sześciu podejrzanych. Niezły bilans…

    • Cyberprzestepcy w pewnym momencie czuja sie na tyle pewnie, ze nie mysla o takich rzeczach jak ulokowanie maszyn w Chinach czy innym trudno dostepnym dla sluzb rejonie ;)

  2. Co zlego by bylo w ubiciu tych DNS? Podejzewam, ze dotknieci tym uzytkownicy maja w systemie nieco wiecej malware, wiec wizyta serwisanta i tak by sie przydala, byc moze drastycznie zmniejszajac wielkosc innych botnetow.

    • 4 miliony zainfekowanych komputerów to dla FBI łakomy kąsek. Teraz ageci mają możliwość monitorowania ruchu z tych komputerów oraz zapewne łatwe przejęcie kontroli nad nimi w tylko im wiadomym celu.

  3. Faktycznie, powinni wyłączyć te serwery – lepiej zapobiegać niż leczyć – może trochę świadomość by się zwiększyła. Albo jeśli nie chcieli brutalnie zostawiać ludzi bez pomocy – przekierować ich na stronę z krótkim komunikatem, lecz tu obawiam się, że jakiś prawnik mógłby wylecieć, że wtedy policja popełnia przestępstwo…

  4. Tez mam chyba tego wirusa, wszedzie widze reklamy ikei.

    • Wirtualna Polska?

  5. Ciekawy kraj ta Estonia – wydaje swoich obywateli innemu krajowi?!

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: