Probe Botnet Ternyata 70G Bytes Pribadi, Data Keuangan

Para peneliti dari University of California menguasai jaringan komputer yang diretas dan terkenal selama 10 hari, mendapatkan wawasan tentang bagaimana ia mencuri data pribadi dan keuangan.

Botnet, yang dikenal sebagai Torpig atau Sinowal, adalah salah satu jaringan yang lebih canggih yang menggunakan perangkat lunak berbahaya yang sulit dideteksi untuk menginfeksi komputer dan kemudian memanen data seperti kata sandi email dan kredensial perbankan online.

Para peneliti mampu memantau lebih dari 180.000 komputer yang diretas dengan mengeksploitasi kelemahan dalam jaringan perintah-dan-kontrol yang digunakan oleh peretas untuk mengendalikan komputer. Itu hanya bekerja selama 10 hari, namun, sampai peretas memperbarui instruksi perintah dan kontrol, menurut kertas 13 halaman peneliti.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Namun, itu cukup jendela untuk melihat kekuatan pengumpul data Torpig / Sinowal. Dalam waktu singkat, sekitar 70G byte data dikumpulkan dari komputer yang diretas.

Para peneliti menyimpan data dan bekerja dengan lembaga penegak hukum seperti Biro Investigasi Federal AS, ISP dan bahkan Departemen Pertahanan AS untuk memberi tahu korban. ISP juga telah mematikan beberapa situs Web yang digunakan untuk memasok perintah baru ke mesin yang diretas, tulis mereka.

Torpig / Sinowal dapat mencopot nama pengguna dan kata sandi dari klien email seperti Outlook, Thunderbird, dan Eudora sambil juga mengumpulkan alamat e-mail dalam program-program tersebut untuk digunakan oleh spammer. Ini juga dapat mengumpulkan kata sandi dari browser Web.

Torpig / Sinowal dapat menginfeksi PC jika komputer mengunjungi situs Web jahat yang dirancang untuk menguji apakah komputer memiliki perangkat lunak yang tidak di-patch, teknik yang dikenal sebagai serangan unduhan drive-by. Jika komputer rentan, perangkat lunak berbahaya tingkat rendah yang disebut rootkit dimasukkan jauh ke dalam sistem.

Para peneliti menemukan bahwa Torpig / Sinowal berakhir pada sistem setelah pertama kali terinfeksi oleh Mebroot, sebuah rootkit yang muncul sekitar Desember 2007.

Mebroot menginfeksi Master Boot Record komputer (MBR), kode pertama yang dicari komputer ketika mem-boot sistem operasi setelah BIOS berjalan. Mebroot sangat kuat karena setiap data yang meninggalkan komputer dapat dicegat.

Mebroot juga dapat mengunduh kode lain ke komputer.

Torpig / Sinowal disesuaikan untuk mengambil data ketika seseorang mengunjungi perbankan daring tertentu dan situs Web lainnya. Kode ini dikodekan untuk menanggapi lebih dari 300 situs Web, dengan target teratas adalah PayPal, Poste Italiane, Capital One, E-Trade dan Chase bank, kata surat kabar itu.

Jika seseorang pergi ke situs Web perbankan, formulir yang dipalsukan dikirimkan yang tampaknya menjadi bagian dari situs yang sah, tetapi meminta berbagai data yang biasanya tidak diminta oleh bank, seperti PIN (nomor identifikasi pribadi) atau nomor kartu kredit.

Situs web menggunakan Enkripsi SSL (Secure Sockets Layer) tidak aman jika digunakan oleh PC dengan Torpig / Sinowal, karena perangkat lunak jahat akan mengambil informasi sebelum dienkripsi, para peneliti menulis.

Peretas biasanya menjual kata sandi dan informasi perbankan di forum bawah tanah penjahat lainnya, yang mencoba menyelundupkan data ke dalam uang tunai. Meskipun sulit untuk secara tepat memperkirakan nilai informasi yang dikumpulkan selama 10 hari, itu bisa bernilai antara US $ 83.000 hingga $ 8,3 juta, kata makalah penelitian.

Ada beberapa cara untuk mengganggu botnet seperti Torpig / Sinowal. Kode botnet menyertakan algoritme yang menghasilkan nama domain yang digunakan oleh malware untuk instruksi baru.

Teknisi keamanan sering dapat mencari tahu algoritme tersebut untuk memprediksi domain mana yang akan dihubungi oleh malware, dan mendahulukan domain tersebut untuk mengganggu botnet. Ini adalah proses yang mahal. Cacing Conficker, misalnya, dapat menghasilkan hingga 50.000 nama domain setiap hari.

Pendaftar, perusahaan yang menjual pendaftaran nama domain, harus mengambil peran lebih besar dalam bekerja sama dengan komunitas keamanan, para peneliti menulis. Tapi pendaftar punya masalah sendiri.

"Dengan sedikit pengecualian, mereka sering kekurangan sumber daya, insentif atau budaya untuk menangani masalah keamanan yang terkait dengan peran mereka," kata surat kabar itu.