Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Zagrożenia sierpnia 2011 wg Kaspersky Lab


Aleksander Gostiew, ekspert z Kaspersky Lab

malware_top_20.png

Poniższe statystyki zostały stworzone dla sierpnia na podstawie danych zebranych z komputerów, na których zainstalowano produkty Kaspersky Lab:

  • zablokowano 193 989 043 ataków sieciowych;
  • udaremniono 64 742 608 infekcji internetowych;
  • wykryto i zneutralizowano 258 090 156 szkodliwych programów na komputerach użytkowników;
  • zarejestrowano 80 155 498 werdyktów heurystycznych.

Sierpień to, mimo sezonu letnich wakacji, tradycyjnie jeden z najpracowitszych miesięcy dla ekspertów od bezpieczeństwa IT. W Stanach Zjednoczonych odbywają się w tym czasie dwie z najważniejszych konferencji w branży: BlackHat oraz Defcon. Te dwie imprezy stanowią popularną platformę, na której ogłaszane są wyniki głównych badań i prowadzone dyskusje dotyczące nie tylko wydarzeń z zeszłego roku, ale również zagrożeń, które dopiero czają się na horyzoncie. Na konferencjach omawia się nowe metody ataków jak również różne technologie hakerskie, z których niektóre są niestety wykorzystywane w szkodliwych programach. Poza tym, sezon letnich wakacji stwarza dodatkowe problemy, zarówno dla indywidualnych użytkowników komputerów, jak i organizacji. Osoby przebywające na wakacjach częściej korzystają z Internetu w kawiarenkach internetowych, poprzez darmowe hotspoty WiFi, na lotniskach itd., co oznacza, że są bardziej narażone na infekcję szkodliwym oprogramowaniem.

Nietypowa aktywność

Przyjrzyjmy się bliżej niektórym nowym szkodliwym programom oraz szkodliwym technologiom stosowanym w sierpniu przez cyberprzestępców.

Ice IX: bękart ZeuSa

Trojan ZeuS (Trojan-Spy.Win32.Zbot) od kilku lat stanowi najbardziej rozpowszechnione zagrożenie dla użytkowników usług bankowości online. Ze względu na liczbę incydentów z udziałem ZeuSa oraz spowodowane przez niego szkody, szkodnik ten może uchodzić za swoistego “króla” wśród szkodliwego oprogramowania. Cały przemysł cyberprzestępczy – głównie rosyjski – został stworzony wokół ZeuSa. Szkodnik ten jest wykorzystywany, bezpośrednio oraz pośrednio, przez dziesiątki grup cyberprzestępczych w ramach ich nielegalnych działań.

W zeszłym roku wyszły na jaw informacje o tym, jakoby twórca ZeuSa sprzedał swoje “dziecko” innemu twórcy wirusów – autorowi trojana SpyEye. To oznaczałoby, że zamiast dwóch konkurujących projektów, pojawiłby się jeden, łączący najlepsze technologie obu zagrożeń. To właśnie miało miejsce w przypadku nowych wersji SpyEye, które stanowią spadkobierców starego ZeuSa i są obecnie regularnie wykrywane.

Jednak mniej więcej w tym samym czasie, w którym miała miejsce ta „fuzja”, część kodu ZeuSa wyciekła i stała się dostępna dla każdego zainteresowanego. Od tej pory każdy, kto chciał stworzyć swój własny klon, ale nie miał ochoty za to płacić - twórca SpyEye’a sprzedaje swoje twory na rynku cyberprzestępczym za kilkanaście tysięcy dolarów - mógł to zrobić przy użyciu tego kodu źródłowego.

W sierpniu jeden z takich klonów stał się dość szeroko rozpowszechniony i przyciągnął uwagę ekspertów z dziedziny bezpieczeństwa IT. Warto zaznaczyć, że pojawił się znacznie wcześniej, wiosną 2011 r., jednak dopiero latem zyskał popularność wśród cyberprzestępców. Nowa modyfikacja, występująca pod nazwą Ice IX, jest sprzedawana za 600-1 800 dolarów. Podobnie jak w przypadku ZeuSa i SpyEye’a, również tym razem mamy do czynienia z “robotą” rosyjskojęzycznych cyberprzestępców. Jedną z najważniejszych innowacji w Ice IX jest zmieniony moduł sieciowy służący do kontroli botnetu, który pozwala cyberprzestępcom na wykorzystywanie legalnych usług hostingowych zamiast kosztownych odpornych na ataki serwerów wykorzystywanych w społeczności cyberprzestępczej. Zmiana ta ma na celu obniżenie kosztów hostingu ponoszonych przez właścicieli Ice IX.

Bezceremonialna kradzież czyjegoś kodu jest typowym procederem w społeczności cyberprzestępczej. Pojawienie się Ice IX, który nie tylko rywalizuje ze SpyEyem, ale również znacznie zmniejsza koszty działania podobnych trojanów, wkrótce doprowadzi do pojawienia się nowych „bękartów” ZeuSa i jeszcze większej liczby ataków na użytkowników serwisów bankowości online.

Szkodliwe oprogramowanie i Bitcoin

Tego lata system pieniędzy elektronicznych Bitcoin znalazł się w centrum uwagi zarówno użytkowników komputerów jak i cyberprzestępców. System “generowania monet” przy użyciu komputerów stał się kolejnym sposobem nielegalnego zarabiania pieniędzy. Jakość generowanych monet zależy od mocy komputera. Im większa liczba komputerów, do którym ma dostęp osoba chcąca zarabiać na bitcoinach, tym większe potencjalne zarobki. Przy pomocy stosunkowo szybkiego ataku na właścicieli portfeli z bitcoinami cyberprzestępcy zdołali nie tylko je ukraść, ale również wykorzystać maszyny ofiar w celu stworzenia botnetów.

Jeszcze w czerwcu wykryliśmy pierwszego trojana (Trojan.NSIS.Miner.a), który bez wiedzy użytkownika generował bitcoiny na zainfekowanym komputerze. Incydent ten zapoczątkował naszą współpracę z wieloma kopalniami bitcoinów (serwerami, na których przechowywane są dane o uczestnikach sieci oraz ich kontach), która pomogła nam przechwycić kilka podobnych botnetów. Początek impasu między branżą antywirusową a cyberprzestępcami na tym nowym polu doprowadził do pojawienia się wielu nowych, bardziej wyrafinowanych typów botnetów bitcoinowych.

W sierpniu cyberprzestępcy znaleźli nowe zastosowania dla takich technologii jak Twitter, sieci P2P oraz serwery proxy.

Zasadniczo, Twitter był wykorzystywany w następujący sposób: bot wysyłał zapytanie do konta na Twitterze, które dostarczało pozostawione tam przez właściciela botnetu polecenia – tj. gdzie jest pobierany program generujący bitcoiny, wraz z instrukcjami, z którymi serwerami bitcoinów należy pracować. Wykorzystywanie Twittera jako centrum kontroli botnetu nie jest nową koncepcją, jednak po raz pierwszy została ona użyta w przypadku systemu bitcoin.

Botnety P2P same w sobie nie są niczym radykalnie nowym, jednak botnet P2P trojana Trojan.Win32.Miner.h wykryty przez ekspertów z Kaspersky Lab w sierpniu ma obecnie prawie 40 000 różnych publicznych adresów IP (według ostrożnych szacunków). Zważywszy, że większość komputerów jest obecnie chronionych przez zapory sieciowe lub bramy internetowe, rzeczywista liczba zainfekowanych maszyn może być kilkakrotnie wyższa. Bot ten instaluje system trzech generatorów bitcoinów jednocześnie: Ufasoft, RCP oraz Phoenix.

Dwie opisane wyżej technologie ułatwiają szkodliwym użytkownikom utrzymywanie swoich botnetów i wykorzystywanie różnych środków w walce z firmami antywirusowymi, którym łatwiej jest zablokować scentralizowane centra kontroli botnetów.p>

Szkodliwi użytkownicy ryzykują, że posiadane przez nich konta w kopalni bitcoinów zostaną usunięte przez właścicieli serwerów, którzy stosują środki prewencyjne wobec nielegalnych programów do wydobywania bitcoinów. W sierpniu Kaspersky Lab odkrył, że jeden z największych botnetów był wykorzystywany nie tylko do wydobywania bitcoinów, ale również zaczynał być stosowany jako metoda ukrywania rzeczywistych kont. W tym celu właściciele botnetu stworzyli specjalny serwer proxy, który współdziałał z zainfekowanymi komputerami, a ich zapytania były następnie przekazywane do nieznanej kopalni bitcoinów. Dzięki temu nie można zidentyfikować sposobu, w jaki analizowany jest kod bota, ani określonych kopalni, z którymi pracuje botnet, a tym samym zablokować oszukańczych kont. Jedynym sposobem przechwycenia aktywności cyberprzestępczej w takiej sytuacji jest uzyskanie pełnego dostępu do jednego z serwerów proxy.

W sumie, pod koniec miesiąca Kaspersky Lab wykrył 35 unikatowych szkodliwych programów, które w ten czy inny sposób atakowały system bitcoinowy.

Robaki zdalnego dostępu

Dość ciekawym zagrożeniem jest robak Morto, który zaczął gwałtownie rozprzestrzeniać się w drugiej połowie sierpnia. W przeciwieństwie do swoich najbardziej znanych poprzedników, robak ten nie wykorzystuje luk w zabezpieczeniach w celu rozmnażania się. Morto rozprzestrzenia się przy użyciu nowej metody - za pośrednictwem usługi Windows RDP, która służy do zapewniania zdalnego dostępu do pulpitu Windows. Szkodnik zasadniczo próbuje znaleźć hasło dostępu. Zgodnie z wczesnymi szacunkami, robak ten mógł zainfekować już kilkadziesiąt tysięcy komputerów na całym świecie. Główne zagrożenie wiąże się z tym, że szkodliwi użytkownicy mogą zarządzać zainfekowanymi komputerami, ponieważ robak zawiera funkcję botnetu i komunikuje się z kilkoma serwerami kontroli. Co więcej, główną funkcją botnetu jest przeprowadzanie ataków DDoS.

Ataki na indywidualnych użytkowników: zagrożenia mobilne

Ponad rok temu (na początku sierpnia 2010 r.) został wykryty pierwszy szkodliwy program dla systemu operacyjnego Android: SMS Trojan FakePlayer. Jego pojawienie się oznaczało drastyczną zmianę globalnego krajobrazu szkodliwego oprogramowania – zarówno w przypadku zagrożeń mobilnych ogólnie, jak i szkodników stworzonych dla Androida. Niecały rok temu liczba szkodliwych programów atakujących Androida zrównała się z liczbą szkodników atakujących Symbiana (pierwsze zagrożenie dla Symbiana pojawiło się w 2004 roku). Dzisiaj zagrożenia stworzone dla Androida stanowią około 24% całkowitej liczby wykrytych zagrożeń atakujących platformy mobilne. Od pojawienia się FakePlayera wykryliśmy 628 modyfikacji szkodliwych programów atakujących Androida.



Rozkład szkodliwych programów atakujących platformy mobilne według systemu operacyjnego (kliknij, aby powiększyć)

85% wszystkich zagrożeń dla smartfonów (tj. bez uwzględniania J2ME) wykrytych w okresie od 1 sierpnia 2011 r do 31 sierpnia 2011 r. atakowało system Android.

Obecnie 99% wszystkich wykrywanych zagrożeń atakujących platformy mobilne to szkodliwe programy mające ten sam cel: nielegalne zdobywanie pieniędzy, w sposób bezpośredni lub pośredni. W sierpniu na tle tego rodzaju zagrożeń wybijał się trojan Nickspy, który wyróżnia się tym, że potrafi rejestrować wszystkie rozmowy właściciela zainfekowanego urządzenia do plików audio i przesyłać je do zdalnego serwera zarządzanego przez szkodliwego użytkownika. Jedna z modyfikacji tego trojana maskuje się pod postacią dodatku do Google+ i potrafi przyjmować połączenia przychodzące z numerów szkodliwego użytkownika zapisanych w pliku konfiguracyjnym programu. Po tym, jak zainfekowany telefon otrzyma, bez wiedzy użytkownika, takie połączenie telefoniczne, szkodliwy użytkownik będzie mógł podsłuchiwać wszystko w zasięgu zainfekowanego urządzenia, łącznie z rozmowami jego właściciela. Ponadto, trojana interesują również wiadomości tekstowe, informacje o połączeniach oraz współrzędne GPS. Wszystkie te dane są wysyłane na zdalny serwer szkodliwego użytkownika.

Coraz powszechniejsze stają się “niekomercyjne” szkodliwe programy atakujące urządzenia przenośne, przy czym niektóre z nich są dość nietypowe. W sierpniu został wykryty trojan Dogwar. Wygląda na to, że program ten został stworzony przez osoby (lub osobę) popierające propagowaną przez organizację PETA sprawę ochrony praw zwierząt. W wersji beta gry Dog Wars szkodliwy użytkownik zamienił słowo BETA w ikonie programu na słowo PETA i umieścił tam szkodliwy kod, który:

  • wysyła do wszystkich kontaktów na liście zainfekowanego urządzenia wiadomość tekstową o treści: „Czerpię przyjemność z krzywdzenia małych zwierzątek i uważam, że powinniście o tym wiedzieć”.
  • wysyła jedną wiadomość tekstową na krótki numer (73822) zawierającą w treści słowo “text”. Numer ten działa w Stanach Zjednoczonych i jest wykorzystywany przez PETA w celu umożliwienia użytkownikom subskrybowania wiadomości tekstowych PETA.

Ataki na sieci korporacji i główne organizacje

Internetowe szpiegostwo korporacyjne i wywiad, praktykowane przez różne państwa na świecie, stopniowo stają się jednym z najczęstszych tematów dyskusji dotyczących problemów bezpieczeństwa IT. Jednak dziedzina ta jest nowa i stosunkowo niedostępna dla większości użytkowników, co oznacza, że przeważająca część wiadomości dotyczących tego rodzaju aktywności stanowi niepotrzebne wyolbrzymienie sprawy.

W sierpniu społecznością IT wstrząsnęła wiadomość pochodząca od firmy McAfee (przejętej przez Intela rok temu) o wykryciu potencjalnie największego cyberataku w historii, który trwał przez ponad pięć lat, a jego ofiarą padły liczne organizacje na całym świecie, od Amerykańskiego departamentu obrony po Wietnamski komitet sportowy. Atak otrzymał nazwę „Shady Rat”. Wszystko byłoby dobrze, gdyby publikacja tej informacji nie zbiegła się w czasie z otwarciem konferencji BlackHat w Las Vegas i nie pojawił się specjalny artykuł na ten temat w Vanity Fair. Trudno nie zgodzić się ze stwierdzeniem, że ekskluzywny materiał o zagrożeniu dla bezpieczeństwa narodowego w magazynie poświęconym głównie modzie wygląda nieco dziwnie – branża bezpieczeństwa zwykle nie informuje w ten sposób opinii publicznej o wykrytych niedawno zagrożeniach.

Dokładniejsza analiza artykułu firmy McAfee jeszcze bardziej zagmatwała sprawę. Po pierwsze, utrzymywany przez szkodliwego użytkownika serwer, który został rzekomo „wykryty przez analityków”, był w rzeczywistości znany ekspertom z wielu innych firm antywirusowych już od kilku miesięcy. Po drugie, w momencie publikacji artykułu serwer nadal był aktywny, a wszystkie informacje wykorzystane w raporcie firmy McAfee były już publicznie dostępne. Ponadto, spyware, który rzekomo został wykorzystany w tym „najbardziej złożonym i największym ataku w historii”, był już wcześniej wykrywany przez wiele programów antywirusowych przy użyciu zwykłej heurystyki. Poza tymi i innymi kwestiami, narzucało się jeszcze kilka innych pytań. Pytania te zostały zadane na forum publicznym, między innymi przez ekspertów z Kaspersky Lab.

Nasze badania potwierdziły, że Shady Rat nie był ani najdłuższym, ani największym, ani tym bardziej najbardziej wyrafinowanym atakiem w historii. Co więcej, jesteśmy przeciwni publikowaniu informacji o jakichkolwiek atakach bez pełnego opisu wszystkich wykorzystanych komponentów i technologii, ponieważ takie niekompletne raporty uniemożliwiają ekspertom podjęcie odpowiednich działań w celu zabezpieczenia swoich zasobów.

Publikowanie informacji o tak zwanych zaawansowanych ciągłych zagrożeniach wiąże się z jeszcze większą odpowiedzialnością. Niedawno takie zagrożenia stały się popularnym tematem podejmowanym przez media, występując obok takich terminów jak „cyberwojna” i „cyberbroń”. Istnieje duży rozdźwięk pomiędzy potocznym rozumieniem a rzeczywistym znaczeniem tych terminów. Kwestie związane z terminologią mają jednak drugorzędne znaczenie, w przypadku gdy omawiany problem dotyczy w rzeczywistości szpiegostwa korporacyjnego lub operacji oddziałów specjalnych. W takich przypadkach należy przede wszystkim pamiętać, że jeżeli tego rodzaju incydenty zyskają zbyt duży rozgłos, a ujawnianie informacji nie będzie ściśle koordynowane, mogą ucierpieć na tym prowadzone dochodzenia, a jeszcze bardziej – ofiary ataku.

Sierpniowe incydenty hakerskie

Sierpień okazał się produktywnym miesiącem dla hakerów. Ataki na firmy i agencje rządowe są przeprowadzone na całym świecie. W przeciwieństwie do ataków dokonywanych przez nieznane osoby, w tym roku za wieloma incydentami stały grupy, które zdecydowały się ujawnić, jak np. AntiSec czy Anonymous. Coraz częściej ataki hakerskie są stosowane jako narzędzie walki politycznej. Wszystkie takie incydenty są szeroko relacjonowane w mediach, ponieważ nadanie atakowi rozgłosu jest kluczowe dla propagowania ideologii tzw. “haktywistów”. Biorąc pod uwagę wydarzenia, jakie miały miejsce w tym roku, sierpniowe incydenty hakerskie nie stanowiły, niestety, niespodzianki.

W omawianym okresie wśród ofiar haktywistów znalazła się włoska policja ds. zwalczania cyberprzestępczości, wiele firm współpracujących z organami ścigania w Stanach Zjednoczonych oraz Vanguard - dostawca z branży militarnej, który ma kontrakt z Amerykańskim departamentem obrony. W wyniku ataków upublicznione zostały gigabajty prywatnych informacji, a w przypadku włoskiej policji ds. zwalczania cyberprzestępczości – dokumenty, które wcześniej były prawdopodobnie własnością indyjskiej ambasady w Rosji.

Później w Stanach Zjednoczonych hakerzy zaatakowali system tranzytowy na obszarze San Francisco Bay Area i ukradli dane osobiste dwóch tysięcy pasażerów, które zostały następnie opublikowane. Spośród politycznie umotywowanych ataków hakerskich, które miały miejsce w sierpniu, wyróżniają się incydenty związane z oficjalnymi stronami rządowymi Syrii i Libii, mające związek z zamieszkami cywilnymi w tych krajach.

Sierpniowe statystyki:

10 najpopularniejszych zagrożeń

1 Blocked 45 643 803 72,76%
2 Trojan.Script.Iframer 1 677 006 2,67%
3 Trojan.Script.Generic 1 230 615 1,96%
4 Trojan.Win32.Generic 758 315 1,21%
5 Exploit.Script.Generic 671 473 1,09%
6 AdWare.Win32.Shopper.ee 462 860 1,07%
7 Trojan-Downloader.Script.Generic 459647 0,74%
8 Trojan.JS.Popupper.aw 431 959 0,73%
9 AdWare.Win32.Eorezo.heur 430 763 0,69%
10 WebToolbar.Win32.MyWebSearch.gen 270 739 0,69%

10 największych źródeł szkodliwych programów

1 Stany Zjednoczone 26,31%
2 Federacja Rosyjska 16,48%
3 Niemcy 9,12%
4 Holandia 7,40%
5 Wielka Brytania 6,09%
6 Ukraina 5,27%
7 Chiny 3,98%
8 Wyspy Dziewicze 3,07%
9 Rumunia 1,97%
10 Francja 1,94%

10 największych hostów szkodliwego oprogramowania

1 ak.imgfarm.com 10,17%
2 ru-download.in 8,64%
3 literedirect.com 7,84%
4 72.51.44.90 7,01%
5 go-download.in 6,86%
6 h1.ripway.com 4,75%
7 updateversionnew.info 4,68%
8 lxtraffic.com 4,36%
9 ak.exe.imgfarm.com 4,18%
10 dl1.mobimoba.ru 3,62%

10 największych szkodliwych stref domen:

1 com 30 618 963
2 ru 10 474 116
3 net 3 465 349
4 in 2 466 494
5 info 2 052 925
6 org 1 982 282
7 tv 827 236
8 cc 819 225
9 cz.cc 463 536
10 tk 329 739

10 krajów z największym odsetkiem ataków szkodliwego oprogramowania

1 Rosja 35,82%
2 Oman 32,67%
3 Armenia 31,16%
4 Białoruś 31,05%
5 Irak 30,37%
6 Azerbejdżan 29,97%
7 Kazachstan 28,31%
8 Ukraina 27,57%
9 Republika Korei 27,23%
10 Sudan 26,01%

10 krajów z największą liczbą ataków fałszywych programów antywirusowych

1 Stany Zjednoczone 29,26%
2 Rosja 9,6%
3 Indie 6,31%
4 Niemcy 3,95%
5 Wielka Brytania 3,9%
6 Wietnam 3,75%
7 Hiszpania 2,88%
8 Kanada 2,81%
9 Meksyk 2,47%
10 Ukraina 2,21%

Źródło:
Kaspersky Lab