Специалисты компании NetWitness отчитались об обнаруженной ими кибератаке, нацеленной на компании и государственные учреждения. В течение полутора лет злоумышленники сколачивали ботнет, в который по последним данным входят компьютеры порядка 2500 компаний и госструктур по всему миру.

О своей находке NetWitness сообщила как на собственном сайте, так и при помощи громкого рупора The Wall Street Journal (WSJ) — издания, которое неоднократно было замечено в раздувании огромных слонов из крохотных мух (как, например, в случае с русско-китайскими хакерами, забравшимися в систему электросети США). Судя по всему, данный случай тоже не стал исключением.

WJS, ссылаясь на полученную у NetWitness информацию, говорит о том, что злоумышленники (чей командный центр находится в Германии) получили доступ к более чем 100 корпоративным серверам, проникли на компьютеры десятка американских государственных организаций, завладели паролем к почте какого-то военного и т.п.

Всё это стало возможным благодаря внедрению на компьютеры сотрудников компаний и госструктур разновидности трояна Zeus. К слову, недавняя фишинговая рассылка по адресам доменов .gov и .mil, также называется частью этой долгоиграющей атаки.

Действительно, в отчёте NetWitness (PDF) говорится о том, что в руки хакеров попала масса логинов/паролей к самым разным сервисам и системам. Однако ничто не свидетельствует в пользу того, что хакеры этими данными действительно воспользовались.

Дело в том, что исследование NetWitness базируется на 75+ гигабайтах перехваченных сырых данных, которые боты отправляют в "центр". Среди этих данных масса самых разных паролей, однако владельцев Zeus-ботнетов обычно интересуют пароли к системам онлайн-банкинга — именно с их помощью они и извлекают материальную выгоду.

Банковские пароли, как нетрудно догадаться, составляют лишь малую часть от общего числа паролей. И действительно, из отчёта видно, что больше всего в перехваченных данных было паролей к социальной сети Facebook, а именно около 3700 штук.

Всего же в этих многобайтах данных было обнаружено порядка 68 000 логинов/паролей. Безусловно, к злоумышленникам попало гораздо больше данных, поскольку специалисты NetWitness перехватывали отчёты ботов лишь в течение 4 недель. Однако изыскивать в этой куче мусора пароли к корпоративным серверам — дело довольно непростое, в то время как гораздо проще автоматизировать процесс, работая с базой адресов популярных систем онлайн-банкинга.

Тем не менее вполне возможно, что какие-то особые цели у злоумышленников и в самом деле были, поскольку, как считают в NetWitness, они нацеливались в первую очередь на компьютеры компаний и государственных структур. Но об этих целях мы можем только догадываться.

По данным NetWitness, обнаруженный ботнет (в компании его назвали Kneber — по имени, на которое зарегистрированы домены, откуда подгружаются компоненты трояна) состоит примерно из 74 тысяч машин. Среди этого числа имеются компьютеры, которые, судя по IP-адресам, находятся в 2411 компаниях и организациях по всему миру.

Атака затронула 374 компании США, при этом досталось даже тем, которые входят в список Fortune 500. Иными словами, недавняя "китайская" атака, о которой в январе рапортовал Google, нервно курит в углу.

В то же время, больше всего ботов обнаружено в Египте, Мексике, Саудовской Аравии и Турции. США в этом списке занимает лишь пятую строчку.