NASK rozwiązał umowę z rejestratorem szkodliwych domen

02-08-2013, 10:27

Spośród 641 domen zarejestrowanych za pośrednictwem firmy Domain Silver tylko jedna była nieszkodliwa. Nic dziwnego, że zespół CERT Polska postanowił przejąć te domeny, a NASK wypowiedział firmie umowę.

Istnieje duże prawdopodobieństwo, że firma Domain Silver, Inc. z siedzibą na Seszelach została założona tylko po to, by ułatwić przestępcom dostęp do rejestru domen. Swą działalność rozpoczęła w maju 2012 r., niedługo potem do CERT Polska wpłynęły pierwsze skargi. Ze wszystkich 641 domen mających status zarejestrowanych w Domain Silver (stan na 9 lipca br.) większość stanowiły domeny szkodliwe dla użytkowników, co pokazuje tabela:

Rozkład szkodliwych domen

CERT Polska zidentyfikował co najmniej 16 instancji botnetów wykorzystujących powyższe domeny, takich jak:

  • Citadel służący najczęściej do kradzieży danych logowania do instytucji finansowych oraz ataków typu man-in-the-browser,
  • Dorkbot (NgrBot) mający funkcje rootkita, pozwalający m.in. wykradać hasła z serwisów społecznościowych i hostingowych, infekować dyski USB oraz przeprowadzać ataki typu flood czy slowloris,
  • Zeus Ice IX potrafiący przechwytywać hasła użytkowników zainfekowanych systemów i dokonywać ataków typu man-in-the-middle,
  • Andromeda (Gamarue) będący modularnym botem, który umożliwia pobieranie dodatkowego oprogramowania, wykradanie danych logowania z różnych serwisów i tworzenie z komputera ofiary serwera proxy,
  • RunForestRun wycelowany w serwery WWW, wyposażony w algorytm generowania nazw domenowych (ang. Domain Generation Algorithm, w skrócie DGA).

Z pozostałych domen tylko jedna (czyli domainsilver.pl) nie zawierała szkodliwych treści, a reszta była pusta. Na 16 domenach założonych po 9 lipca 2013 r. znajdowały się serwery C&C zagrożenia z kategorii ransomware, które blokuje komputery, podszywając się pod policję i żądając zapłacenia okupu w wysokości kilkuset złotych.

W tej chwili zmiany danych domen zarejestrowanych przez seszelską spółkę są zablokowane. Domeny te będą systematycznie sinkhole'owane przez CERT Polska (tj. przekierowywane na serwery badaczy, którzy przeanalizują ruch sieciowy z zainfekowanych maszyn). Z kolei NASK podjął decyzję o natychmiastowym rozwiązaniu umowy z firmą Domain Silver.

Więcej szczegółów można znaleźć w zamieszczonym poniżej raporcie.

Raport Domain Silver PL by di24pl


Źródło: CERT Polska
Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie

RSS  
RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2021»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
25262728293031