ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Данные о 500 000 онлайн-счетов и кредитных и дебетовых карт была украдена вирусом, получившим описание как «один из наиболее продвинутых образцов когда-либо разработанного преступного программного обеспечения».

«Эффект оказался реально глобальным, и атаке подверглись более 2000 доменов», - рассказал Шон Брэди (Sean Brady) из подразделения безопасности RSA.

Сотрудники лаборатории Fraud Action Research Lab в RSA признали, что впервые троян Windows Sinowal они зафиксировали в феврале 2006 года. С тех пор, по словам Брэди, 270 000 банковских счетов и 240 000 кредитных и дебетовых карт было взломано в финансовых организациях разных стран, включая США, Великобританию, Австралию и Польшу. Сотрудники лаборатории утверждают, что Sinowal не затронул российские счета.

Специалисты RSA описывают Sinowal как «одну из наиболее серьезных угроз для любого, имеющего Интернет-соединение», так как он работает «за кадром» с использованием обычного метода заражения, известного как «попутная загрузка» (drive-by downloads). Пользователи могут получить его, не зная об этом, если они посетят сайт, оказавшийся мишенью вредоносного кода Sinowal. По данным Брэди, одним из наиболее опасных аспектов Sinowal, известного также как Torpig и Mebroot, является то, что он действовал в течение такого длительного времени.

«Одним из главных интересных особенностей этого конкретного трояна является то, что он существовал два с половиной года, втихую собирая информацию, - говорит он. - Любой IT‑профессионал скажет вам, что поддерживать его и хранить получаемую информацию довольно дорого. Группа, стоящая за ним, убедилась в выгоде инвестиций в эту инфраструктуру, так как отдача и возможность отдачи очень велики».

Исследователи RSA пояснили, что создатели трояна периодически выпускали новые варианты, чтобы не допустить обнаружения. Так как сотрудники лаборатории RSA отслеживали этот троян с 2006 года, они смогли многое узнать о его устройстве и инфраструктуре, но совсем немного о том, кто за всем этим стоит. «О том, откуда он взялся, ведется много споров, и существуют примечательные наблюдения, указывающие на Россию и Восточную Европу. Исторически существовали связи с онлайн-бандой, имеющей отношение к Russian Business Network, но в реальности никто ничего не знает наверняка». Это происходит из-за того, что группа способна использовать «всемирную паутину», чтобы скрывать свое нахождение.