Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin 2012. Cyberbronie

Tagi:

Aleksander Gostiew
Ekspert, Kaspersky Lab
  1. Kaspersky Security Bulletin 2012. Ewolucja szkodliwego oprogramowania
  2. Kaspersky Security Bulletin 2012. Statystyki dla 2012 roku
  3. Kaspersky Security Bulletin 2012. Cyberbronie

Przed 2012 rokiem znane były tylko dwa przypadki wykorzystywania cyberbroni - Stuxnet i Duqu. Jednak analiza tych zagrożeń skłoniła środowisko IT do znacznego rozszerzenia koncepcji wojny cybernetycznej.

Oprócz wzrostu liczby incydentów naruszenia bezpieczeństwa z wykorzystaniem cyberbroni w 2012 roku wyszło również na jaw, że wiele suwerennych państw jest aktywnie zaangażowanych w rozwój cyberbroni – fakt, który został podchwycony przez media i wywołał szeroką dyskusję. Ponadto, w 2012 roku problem cyberbroni znalazł się w programach publicznych dyskusji między rządami i przedstawicielami państw.

Można zatem śmiało powiedzieć, że 2012 rok przyniósł kluczowe zmiany w tej sferze – zarówno pod względem wzrostu liczby incydentów naruszenia bezpieczeństwa jak i lepszego zrozumienia sposobu rozwoju cyberbroni.

Obraz świata

W 2012 roku rozszerzył się obszar użycia cyberbroni. Wcześniej wykorzystywana była jedynie przeciwko Iranowi, jednak w 2012 roku stosowano ją już w szerszym regionie obejmującym sąsiadującą z Iranem część Azji Zachodniej. Zmiana ta odzwierciedlała rozwój sytuacji politycznej w tym od dawna uznawanym za niestabilny regionie.

Iran nadal prowadził program nuklearny, a sytuację w regionie komplikowały jeszcze bardziej kryzysy polityczne w Syrii i Egipcie. Niestabilność w regionie zwiększały dodatkowo napięcia w Libanie, nieustający konflikt izraelsko-palestyński oraz zamieszki w kilku państwach w Zatoce Perskiej.

W takich okolicznościach nikogo nie powinno dziwić, że inne państwa próbowały bronić swoich interesów i zastosowały wszelkie dostępne narzędzia, aby zapewnić sobie bezpieczeństwo i gromadzić informacje.

Wszystkie te czynniki razem wzięte spowodowały kilka poważnych incydentów w regionie, które po szczegółowej analizie można zaklasyfikować jako zastosowanie cyberbroni.

Duqu

Ten szkodliwy program szpiegujący, wykryty we wrześniu 2011 roku i upubliczniony w październiku 2011 r., skłonił ekspertów z Kaspersky Lab do działania. W ramach prowadzonego badania specjaliści zdołali uzyskać dostęp do wielu serwerów kontroli Duqu i zebrać sporą ilość informacji na temat architektury tych programów i jej rozwoju. Udowodniono w sposób przekonujący, że Duqu został rozwinięty na bazie platformy „Tilded”, na podstawie której został stworzony również inny znany szkodliwy program – Stuxnet. Ustalono również, że istniały co najmniej trzy inne szkodliwe programy, które wykorzystywały ten sam szkielet Duqu/Stuxneta; szkodniki te nie zostały jeszcze wykryte „na wolności”.

Badania prowadzone przez ekspertów ds. bezpieczeństwa zmusiły operatorów Duqu do zniszczenia wszystkich śladów swojej aktywności z serwerów kontroli oraz komputerów ofiar.

Pod koniec 2011 roku Duqu przestał istnieć, jednak z końcem lutego 2012 roku eksperci z firmy Symantec odkryli w Iranie nową wersję sterownika, podobną do tej wykorzystywanej w Duqu, ale stworzoną 23 lutego 2012 roku. Moduł główny nigdy nie został wykryty; od tego czasu nie zostały również wykryte żadne dalsze modyfikacje Duqu.

Wiper

Ten “tajemniczy” trojan spowodował sporo zamieszania w Iranie pod koniec kwietnia 2012 roku: pojawił się praktycznie znikąd i zniszczył dużą liczbę baz danych w dziesiątkach organizacji. Szczególnie mocno ucierpiał największy w kraju skład paliw – jego działalność została wstrzymana na kilka dni po tym, jak zniszczeniu uległy dane dotyczące kontraktów paliwowych.

Nie wykryto jednak ani jednej próbki szkodliwego programu wykorzystanego w tych atakach, dlatego wiele osób kwestionowało rzetelność doniesień medialnych.

Organizacja International Telecommunication Union (ITU) zwróciła się do Kaspersky Lab z prośbą o zbadanie tych incydentów i oszacowanie potencjalnych szkód wyrządzonych przez ten szkodliwy program.

Twórcy Wipera dołożyli wszelkich starań, aby zniszczyć wszystkie dane, które mogłyby zostać wykorzystane do analizy tych incydentów. Z tego powodu po aktywacji Wipera nie zostały praktycznie żadne ślady aktywności tego szkodliwego oprogramowania.

W trakcie dochodzenia w sprawie tajemniczego szkodliwego ataku w kwietniu zdołaliśmy uzyskać i przeanalizować próbki kilku dysków twardych zaatakowanych przez Wipera. Możemy potwierdzić, że incydenty te rzeczywiście miały miejsce, a szkodliwy program wykorzystywany w tych atakach istniał w kwietniu 2012 r. Ponadto wiemy, że miało miejsce kilka bardzo podobnych incydentów, które wydarzyły się jeszcze w grudniu 2011 roku.

Większość ataków miała miejsce w ciągu 10 dni (od 21 do 30 kwietnia); nie można jednak wykluczyć, że istniała specjalna funkcja, która była aktywowana jedynie w określone dni.

Nadal nie udało nam się wykryć żadnych szkodliwych plików o właściwościach odpowiadających znanym cechom Wipera. Odkryliśmy jednak kampanię cyberszpiegowską prowadzoną na poziomie państwowym znaną pod nazwą Flame; następnie wykryliśmy kolejny system wykorzystywany do cyberszpiegostwa, który otrzymał nazwę Gauss.

Flame

Flame jest bardzo zaawansowanym zestawem narzędzi do przeprowadzania ataków, znacznie bardziej złożonym niż Duqu. Jest to trojan backdoor, który posiada również pewne cechy robaka; cechy te pozwalają mu rozprzestrzeniać się za pośrednictwem sieci lokalnych lub wymiennych nośników pamięci zgodnie z instrukcjami osoby, która go kontroluje.

Po zainfekowaniu systemu Flame zaczyna wykonywać złożony zestaw operacji, które mogą obejmować analizę ruchu sieciowego, wykonywanie zrzutów ekranu, rejestrowanie komunikacji głosowej, logowanie uderzeń klawiszy itd. Wszystkie te dane są dostępne dla operatorów szkodnika za pośrednictwem serwerów kontroli Flame’a.

Operatorzy mogą również pobrać dodatkowe moduły na komputery ofiar w celu rozszerzenia szkodliwej funkcjonalności Flame’a.

Flame posiadał unikatową funkcję umożliwiającą mu rozprzestrzenianie się w sieci LAN; w tym celu przechwytywał żądania aktualizacji systemu Windows i zastępował je własnym modułem podpisanym certyfikatem Microsoftu. Analiza tego certyfikatu wskazała na unikatowy atak kryptograficzny, który umożliwiał cyberprzestępcom generowanie własnego fałszywego certyfikatu, którego nie można było odróżnić od legalnego oryginału.

Zebrane przez nas informacje potwierdzają, że rozwój Flame’a rozpoczął się już w około 2008 roku i trwał aż do jego ujawnienia w maju 2012 r.

Ponadto, zdołaliśmy ustalić, że jeden z modułów stworzonych na platformie Flame’a został wykorzystany w 2009 roku jako moduł rozprzestrzeniania robaka Stuxnet. Fakt ten pokazuje, że istniała ścisła współpraca między zespołami programistów, które stworzyły platformę Flame’a i Tilded, obejmującą wymianę kodu źródłowego.

Gauss

Po odkryciu Flame’a zaimplementowaliśmy kilka metod heurystycznych w oparciu o analizę podobieństw w kodzie. Podejście to wkrótce doprowadziło do kolejnego przełomu. W połowie lipca został wykryty szkodliwy program stworzony na platformie Flame’a; posiadał jednak inną funkcję szkodliwą i środowisko.

Gauss jest zaawansowanym zestawem narzędzi do przeprowadzania cyberszpiegostwa, zaimplementowanym przez tę samą grupę, która stworzyła platformę Flame’a. Zestaw ten posiada strukturę modułową i obsługuje zdalną dystrybucję nowej funkcji, która jest implementowana w postaci dodatkowych modułów. Wykryte do tej pory moduły wykonują następujące operacje:

  • przechwytują pliki cookie oraz hasła w przeglądarce internetowej;
  • gromadzą dane dotyczące konfiguracji systemu i wysyłają je cyberprzestępcom;
  • infekują urządzenia USB modułem służącym do kradzieży danych;
  • tworzą listy zawartości dysków systemu i folderów;
  • kradną dane niezbędne do uzyskania dostępu do kont użytkowników w różnych systemach bankowych na Bliskim Wschodzie;
  • przechwytują dane dotyczące kont na portalach społecznościowych, w serwisach pocztowych i komunikatorach internetowych.

Wygląda na to, że moduły zostały nazwane na cześć wybitnych matematyków i filozofów - Kurta Gödela, Carla Friedricha Gaussa oraz Josepha Louisa Lagrange’a.

Na podstawie wyników naszej analizy oraz znaczników czasowych w dostępnych nam szkodliwych modułach ustaliliśmy, że Gauss zaczął działać w sierpniu lub wrześniu 2011 roku.

Od końca maja 2012 roku oparta na chmurze usługa bezpieczeństwa firmy Kaspersky Lab (Kaspersky Security Network) zarejestrowała ponad 2 500 infekcji Gaussem; szacujemy, że rzeczywista łączna liczba ofiar Gaussa może sięgać dziesiątek tysięcy.

Większość ofiar Gaussa to mieszkańcy Libanu; ofiary odnotowano również w Izraelu oraz na terytoriach palestyńskich. Mniejsze liczby ofiar zarejestrowano w Stanach Zjednoczonych, Zjednoczonych Emiratach Arabskich, w Katarze, Jordanie, Niemczech oraz Egipcie.

miniFlame

Na początku czerwca 2012 roku wykryliśmy niewielki ale interesujący moduł stworzony na platformie Flame’a. Szkodnik ten, który otrzymał nazwę miniFlame, stanowi miniaturę w pełni funkcjonalnego modułu szpiegującego stworzonego w celu kradzieży informacji i uzyskania dostępu do zainfekowanego systemu. W przeciwieństwie do Flame’a i Gaussa, które były wykorzystywane do przeprowadzania operacji szpiegowskich na dużą skalę i zainfekowały tysiące ofiar, miniFlame/SPE jest narzędziem do przeprowadzania ukierunkowanych ataków o dużej precyzji.

Chociaż miniFlame opiera się na platformie Flame’a, jest implementowany jako samodzielny moduł, który może działać zarówno autonomicznie, bez obecności głównego modułu Flame’a w systemie, jak i jako komponent kontrolowany przez Flame’a. Co ciekawe, miniFlame może również być wykorzystywany w połączeniu z Gaussem, innym programem szpiegującym.

Wygląda na to, że rozwój miniFlame’a rozpoczął się kilka lat temu i trwał aż do 2012 roku. Sądząc po kodzie jego serwerów kontroli, protokoły do obsługi SP i SPE zostały stworzone w tym samym czasie lub wcześniej, niż protokół operacyjny dla FL (Flame), czyli nie później niż w 2007 roku.

Głównym celem miniFlame’a jest pełnienie funkcji backdoora w zainfekowanych systemach, umożliwiając osobom atakującym bezpośrednie zarządzanie nimi.

Liczby ofiar miniFlame’a i Duqu są porównywalne.

Nazwa Liczba incydentów (statystyki Kaspersky Lab) Średnia liczba incydentów
Stuxnet Ponad 100 000 Ponad 300 000
Gauss ~ 2 500 ~10 000
Flame (FL) ~ 700 ~5 000-6 000
Duqu ~20 ~50-60
miniFlame (SPE) ~10-20 ~50-60

 

Podsumowanie wszystkich danych dotyczących szkodliwych programów zaklasyfikowanych jako „cyberbroń” wykrytych w 2012 roku wskazuje na wyraźny związek geograficzny z Bliskim Wschodem.

Co to wszystko oznacza?

Nasze doświadczenie zdobyte podczas wykrywania i analizy wszystkich szkodliwych programów omówionych powyżej pozwala sformułować następujący pogląd dotyczący współczesnych zagrożeń i ich klasyfikacji.

Obecny krajobraz szkodliwego oprogramowania można przedstawić jako piramidę.

Podstawę piramidy tworzą wszystkie rodzaje zagrożeń – to, co określamy jako „tradycyjną” cyberprzestępczość. Do jej cech charakterystycznych należy wykorzystywanie ataków masowych, których celem są zwykli użytkownicy. Głównym motywem cyberprzestępców podczas przeprowadzania takich ataków jest chęć uzyskania bezpośrednich korzyści finansowych. Szkodliwe oprogramowanie w tej warstwie obejmuje trojany bankowe, clickery, botnety, oprogramowanie wymuszające okup (ransomware), zagrożenia mobilne itd. i stanowi ponad 90% wszystkich współczesnych zagrożeń.

Drugą warstwę tworzą zagrożenia, których celem są organizacje. Są to ataki ukierunkowane obejmujące szpiegostwo przemysłowe, jak również ukierunkowane ataki hakerskie przeprowadzane w celu zdyskredytowania swoich ofiar. Osoby przeprowadzające te ataki to specjaliści, którzy działają z myślą o konkretnym celu lub działają na zlecenie konkretnego klienta. Celem jest kradzież informacji lub własności intelektualnej. Korzyści finansowe nie są głównym czynnikiem motywującym. Zgodnie z naszą klasyfikacją, w tej grupie zagrożeń znajdują się również różne szkodliwe programy stworzone przez określone firmy na żądanie organów ścigania w kilku państwach oraz sprzedawane otwarcie, np. szkodliwe oprogramowanie stworzone przez Gamma Group oczy Hacking Team SRL.

Trzecią warstwę, stanowiącą szczyt piramidy, stanowi szkodliwe oprogramowanie, które można skategoryzować jako rzeczywistą cyberbroń. W naszej klasyfikacji obejmuje ona szkodliwe oprogramowanie stworzone i finansowane przez struktury kontrolowane przez rządy. Takie szkodliwe oprogramowanie jest wykorzystywane przeciwko obywatelom, organizacjom oraz agencjom w innych państwach.

Na podstawie wszystkich znanych nam próbek tego rodzaju programów możemy zidentyfikować trzy główne grupy zagrożeń w tej kategorii:

  • „Destruktory”. Są to programy, których celem jest zniszczenie baz danych i informacji. Mogą być implementowane jako „bomby logiczne”, które są wprowadzane do systemów ofiar z wyprzedzeniem, a następnie wyzwalane w określonym czasie, lub w ramach ataku ukierunkowanego z natychmiastowym wykonaniem. Najbardziej znanym przykładem takiego szkodliwego oprogramowania jest Wiper.
  • Programy szpiegujące. Do grupy tej należy Flame, Gauss, Duqu oraz miniFlame. Głównym celem takiego oprogramowania jest gromadzenie jak największej ilości informacji, w szczególności wysoce wyspecjalizowanych danych (np. z projektów Autocad, systemów SCADA itd.), które mogą zostać później wykorzystane do tworzenia innych typów zagrożeń.
  • Narzędzia do cybersabotażu. Jest to najwyższa forma cyberbroni – zagrożenia wyrządzające szkodę fizyczną swoim celom. Naturalnie, w kategorii tej znajduje się robak Stuxnet. Tego rodzaju zagrożenia są unikatowe i wierzymy, że zawsze będą zjawiskiem rzadkim. Jednak niektóre państwa wkładają coraz więcej wysiłku w rozwijanie tego rodzaju programów, traktując je również jako formę zabezpieczenia przed innymi cyberbroniami.