Raport na temat botnetu Citadel plitfi

Data publikacji: 15/04/2013, Łukasz Siewierski

Pod koniec lutego 2013 roku Naukowa i Akademicka Sieć Komputerowa i działający w jej strukturach CERT Polska przejęły kontrolę nad 3 domenami używanymi do zarządzania jedną z instancji botnetu Citadel oznaczoną plitfi. Botnet ten był skierowany głównie na polskich użytkowników. Cały ruch skierowany do serwerów C&C botnetu został przekierowany do serwera kontrolowanego przez CERT Polska.

Dzisiaj publikujemy pełen raport dotyczący przejęcia tego botnetu. W raporcie znajdują się, między innymi, następujące informacje:

    • Botnet używany był do wyłudzania pieniędzy z kont bankowych za pomocą fałszywych komunikatów o rzekomo błędnie zaksięgowanym przelewie.
    • 11 730 różnych maszyn łączyło się z botnetem.
    • Ponad 77% wszystkich połączeń do serwera sinkhole’a pochodziło z Polski.
    • Prawie cały ruch do serwera sinkhole pochodził z Europy bądź Japonii.
    • Boty Citadela znajdowały się na systemach operacyjnych od Windows XP aż do Windows 7.
    • Botnet korzystał z mechanizmu serwerów proxy, aby ukryć prawdziwe serwery C&C.

Pełen tekst raportu można znaleźć tutaj lub w dziale „Raporty”.