Данные о 500 000 онлайн-счетов и кредитных и дебетовых карт была украдена
вирусом, получившим описание как «один из наиболее продвинутых образцов
когда-либо разработанного преступного программного обеспечения».
«Эффект оказался реально глобальным, и атаке подверглись более 2000 доменов»,
- рассказал Шон Брэди (Sean Brady) из подразделения безопасности RSA.
Сотрудники лаборатории Fraud Action Research Lab в RSA признали, что впервые
троян Windows Sinowal они зафиксировали в феврале 2006 года. С тех пор, по
словам Брэди, 270 000 банковских счетов и 240 000 кредитных и дебетовых карт
было взломано в финансовых организациях разных стран, включая США,
Великобританию, Австралию и Польшу. Сотрудники лаборатории утверждают, что
Sinowal не затронул российские счета.
Специалисты RSA описывают Sinowal как «одну из наиболее серьезных угроз для
любого, имеющего Интернет-соединение», так как он работает «за кадром» с
использованием обычного метода заражения, известного как «попутная загрузка» (drive-by
downloads). Пользователи могут получить его, не зная об этом, если они посетят
сайт, оказавшийся мишенью вредоносного кода Sinowal. По данным Брэди, одним из
наиболее опасных аспектов Sinowal, известного также как Torpig и Mebroot,
является то, что он действовал в течение такого длительного времени.
«Одним из главных интересных особенностей этого конкретного трояна является
то, что он существовал два с половиной года, втихую собирая информацию, -
говорит он. - Любой IT‑профессионал скажет вам, что поддерживать его и хранить
получаемую информацию довольно дорого. Группа, стоящая за ним, убедилась в
выгоде инвестиций в эту инфраструктуру, так как отдача и возможность отдачи
очень велики».
Исследователи RSA пояснили, что создатели трояна периодически выпускали новые
варианты, чтобы не допустить обнаружения. Так как сотрудники лаборатории RSA
отслеживали этот троян с 2006 года, они смогли многое узнать о его устройстве и
инфраструктуре, но совсем немного о том, кто за всем этим стоит. «О том, откуда
он взялся, ведется много споров, и существуют примечательные наблюдения,
указывающие на Россию и Восточную Европу. Исторически существовали связи с
онлайн-бандой, имеющей отношение к Russian Business Network, но в реальности
никто ничего не знает наверняка». Это происходит из-за того, что группа способна
использовать «всемирную паутину», чтобы скрывать свое нахождение.
