Выступая на конференции Black Hat, представитель компании SecureWorks Джо Стюарт заявил о прекращении функционирования одного из основных серверов ботнета Coreflood, сообщает Digital Trends.
Преступная сеть Coreflood выросла на основе одноименной троянской программы и стала обширным хранилищем ворованной информации. Сервер, обнаруженный SecureWorks, содержал 50 гигабайт украденных данных, включая номера и пароли кредитных карт, а также детальную информацию о банковских счетах.
Ботнет Coreflood заявил о себе в 2004 году, когда хакеры, инфицировав компьютеры одной из американских компаний, выкрали деньги с ее счетов. После этого случая активность преступной сети стихла. Тем не менее, специалистам компаний SecureWorks и Spamhaus удалось обнаружить и обезвредить один из серверов ботнета. Однако, по сообщению SecureWorks, киберпреступники успели неоднократно воспользоваться украденной информацией. Данные, обнаруженные на сервере, включают идентификационные данные держателей 3233 кредитных карт и 8485 членов кредитных кооперативов и владельцев банковских счетов – в целом около полумиллиона паролей из 35 тысяч доменов.
Преступникам удалось собрать такую обширную базу благодаря осторожности и неторопливости. Заразив один компьютер какой-либо сети, они неспешно продолжали распространять шпионскую программу до тех пор, пока не достигали администраторской машины. Затем, воспользовавшись правами неограниченного доступа, заражали всю сеть.
Несмотря на то, что один из ключевых серверов ботнета был обезврежен, Coreflood продолжает действовать. Специалисты утверждают, что его основные ресурсы сейчас сосредоточены на территории России. По словам Стюарта, следует ожидать дальнейшей активности ботнета.
За несколько дней до того, как специалистам удалось прекратить функционирование сервера, Стюарт заметил, что на нем была создана директория, содержащая средство атаки с использованием уязвимости в приложении Microsoft PowerPoint. Это, по его мнению, указывает на вероятность осуществления целенаправленных атак, подобных тем, что были предприняты недавно китайскими и румынскими хакерами.