Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Planeta spamerów


Daria Gudkowa
Ekspert z Kaspersky Lab
klp_planeta_spamu.png

W dzisiejszym świecie nie ma już prawie stref wolnych od spamu. Od wielu lat spamerzy zacięcie walczą o obszary, z których mogliby przeprowadzać swoje ataki, nieustannie próbując utrzymać zdobyte terytoria, a jednocześnie zawłaszczać nowe. Jednocześnie organy ścigania, producenci rozwiązań do ochrony przed spamem oraz inne zainteresowane strony robią, co w ich mocy, aby zapobiec tej „inwazji”. W tym artykule zbadamy czynniki, które wpływają na migrację źródeł spamu, przeanalizujemy zmiany w ich rozkładzie oraz omówimy trendy, jakie można wyróżnić w takiej migracji.

2003-2009: kronika

Na całym świecie firmy z branży rozwiązań antyspamowych, organy ścigania oraz inne zainteresowane strony walczą ze spamerami, zmuszając ich do szukania alternatywnych metod dystrybucji niechcianych wiadomości, rozprzestrzeniania masowych wysyłek oraz obchodzenia filtrów.

W 2003 roku wiele europejskich państw przyjęło nowe ustawy antyspamowe zgodnie z wymogami Dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady Europejskiej z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej (Dyrektywa dotycząca prywatności i komunikacji elektronicznej). Dyrektywa ta wymagała również wprowadzenia zabezpieczeń przed niechcianą korespondencją handlową. W tym samym roku prawo antyspamowe zostało przyjęte w Stanach Zjednoczonych i Australii. Australia nadal jest uważana za państwo, które posiada jedne z najbardziej efektywnych ustaw antyspamowych na świecie.

Jednak pomimo wprowadzonych ustaw antyspamowych liczba niechcianych wiadomości w ruchu pocztowym wciąż rosła. W 2004 roku zwiększyła się o 14% w stosunku do poprzedniego roku i stanowiła 80% całego ruchu pocztowego. Poziom ten utrzymał się do końca 2006 roku. W celu zwalczania spamu wszyscy najwięksi dostawcy serwisów e-mail zainstalowali filtry antyspamowe, a wiele producentów rozwiązań antywirusowych zaczęło integrować do swoich produktów silniki antyspamowe.

Nowo przyjęta ustawa antyspamowa w Stanach Zjednoczonych nie zdołała przeszkodzić temu państwu w staniu się największym źródłem spamu – według niektórych szacunków, ze Stanów Zjednoczonych pochodziło prawie 50% wszystkich wiadomości spamowych na świecie.

W 2006 roku miała miejsce druga „fala” ustaw antyspamowych, a w latach 2006-2007 takie prawo zostało przyjęte w Chinach, Pakistanie, Singapurze oraz Nowej Zelandii. Również Rosja wprowadziła poprawki do swojej federalnej ustawy “o reklamie”. Ponadto, wprowadzono technologię do zwalczania spamu, w związku z czym spamerzy zmuszeni byli usprawnić metody dystrybucji oraz sposoby obchodzenia filtrów spamowych. W 2006 r. został ostatecznie zdyskredytowany i zlikwidowany system „open relay” wykorzystywany przez spamerów do rozprzestrzeniania niechcianych wiadomości e-mail, w wyniku czego dystrybutorzy zostali zmuszeni do stosowania sieci zombie. Tymczasem spam stał się znacznie bardziej zróżnicowany technicznie: pojawił się pierwszy spam graficzny z szumem w tle, a spamerzy zaczęli wykorzystywać różne cechy HTML-a w celu obejścia filtrów.

W 2006 r., oprócz Stanów Zjednoczonych, w trójce największych globalnych źródeł spamu znalazła się Rosja oraz Chiny. W rosyjskojęzycznym sektorze Internetu Rosja stanowiła największego dystrybutora spamu: niechciane wiadomości z tego państwa stanowiły 22% całego ruchu pocztowego. Na drugim miejscu znalazły się Stany Zjednoczone (20%), za którymi uplasowały się Chiny (11%). W Europie Zachodniej i Ameryce Stany Zjednoczone uplasowały się jako główne źródło spamu, przed Rosją, Chinami i licznymi państwami z Europy Zachodniej.

30 marca 2006 roku Chiny uchwaliły ustawę dotyczącą “Regulacji internetowych serwisów e-mail” i od 2007 roku ilość spamu pochodzącego z tego państwa znacznie spadła.

W 2007 roku Stany Zjednoczone znalazły się na pierwszym miejscu rankingu największych źródeł spamu (z państwa tego pochodziło 11,2% wszystkich niechcianych wiadomości), a tuż za nimi uplasowała się Rosja (10,8%). Trzecie miejsce zajęła Polska – drugi i ostatni przedstawiciel Europy Wschodniej w rankingu 20 największych spamerów. W 2007 roku nowością w pierwszej 10 były Indie, które cztery lata później stały się największym dystrybutorem spamu na świecie. Chiny zajęły niską 9 lokatę. W rankingu znalazło się również pięć państw z Ameryki Łacińskiej.

W tym samym roku właściciele sieci botów rozpoczęli swoje “poszukiwania nowych terytoriów”. Wypłoszeni z Chin z powodu polityki surowej kontroli Internetu, zadomowili się w słabiej chronionych państwach w Azji, na Bliskim Wschodzie i w Ameryce Łacińskiej. Poza brakiem stosownych ustaw antyspamowych regiony te znane są również z niskiego poziomu wiedzy komputerowej i słabego rozpowszechnienia oprogramowania antywirusowego. To daje oszustom łatwy dostęp do komputerów użytkowników.

W 2008 r. Stany Zjednoczone i Rosja zamieniły się miejscami w rankingu największych źródeł spamu: Rosja odpowiadała za 22% całego dystrybuowanego spamu, a Stany Zjednoczone – za 16% (co pozwoliło im uplasować się na drugim miejscu). Kraje te z łatwością zdeklasowały inne. W tym samym roku do rankingu Top 10 weszło inne państwo wschodnioeuropejskie – Ukraina.

W drugiej połowie 2009 r. liczba niechcianych wiadomości pochodzących ze Stanów Zjednoczonych znacznie zwiększyła się i stanowiła 24,4% całego ruchu spamowego. Jednocześnie rosła liczba zainfekowanych amerykańskich domen. To oznaczało, że twórcy wirusów wykazali wzmożone zainteresowanie Stanami Zjednoczonymi albo przeprowadzali ataki łączone, których celem było zainfekowanie amerykańskich domen w celu przyłączenia niezabezpieczonych komputerów do botnetów (np. atak przy użyciu Bredolaba). W 2009 roku udział Stanów Zjednoczonych w dystrybucji spamu krążącego w Internecie wynosił średnio 16%. Z kolei udział Rosji stopniowo spadał, wynosząc ostatecznie 8,5%. Za tymi dwoma głównymi graczami uplasowała się Brazylia (7,6%), Indie (5,9%) oraz Korea Południowa (48%). Właściciele botów umacniali swoje pozycje w krajach rozwijających się: ranking Top 10 nie zawierał ani jednego państwa z Europy Zachodniej.

2010: zamknięcia botnetów oraz programów partnerskich

Przed 2010 rokiem Stany Zjednoczone i Rosja znajdowały się w czołówce rankingu państw, w których zlokalizowane były najbardziej rozwinięte biznesy spamowe. W pewnych latach łączny udział tych dwóch państw wynosił 22-42% całego krążącego spamu. Jednak w 2010 r. sytuacja uległa zmianie.

Rok 2010 przejdzie do historii jako ten, w którym miał miejsce odwet osób zwalczających botnety. Niektóre centra kontroli botnetów zostały zamknięte już wcześniej – dostawca usług hostingowych McColo, który hostował centra kontroli kilku botnetów, został zamknięty w 2008 r. – jednak kampania antybotnetowa nigdy przedtem nie była tak szeroko zakrojona i tak skuteczna. W tym samym roku wniesiono sprawę sądową przeciwko kilku spamerom oraz właścicielom botnetów. Warto zaznaczyć, że nie były to odizolowane przypadki i podobne inicjatywy nadal są prowadzone: przykładem może być zamknięcie centrum kontroli Rustocka w marcu 2011 r.

Kampania antybotnetowa z 2010 r. bez wątpienia spowodowała relokację wielu źródeł spamu. Wykres przedstawiający dystrybucję źródeł spamu według regionu pokazuje dynamikę tych zmian.

 enlarge.gif
Spam według regionu w 2010 r.

Co ciekawe, udział spamu pochodzącego z Europy Wschodniej wzrósł w marcu i październiku, ale współczynniki spamu dla Ameryki Łacińskiej były wyższe w czerwcu. Z kolei udział Stanów Zjednoczonych i Kanady zaczął spadać od września.

Znaczący spadek ilości spamu pochodzącego ze Stanów Zjednoczonych był spowodowany zamknięciem centrów kontroli botnetów Pushdo/Cutwail. Likwidacja programu partnerskiego SpamIt, specjalizującego się w spamie farmaceutycznym, prawdopodobnie również miała wpływ na ilość spamu wysyłanego ze Stanów Zjednoczonych.

Kampania antybotnetowa zmusiła cyberprzestępców do eksplorowania nowych i korzystniejszych dla nich terytoriów, z których mogliby wysyłać spam. W październiku ilość spamu z Rosji, Ukrainy i innych państw wschodnioeuropejskich znacznie wzrosła. Tendencja wzrostowa utrzymała się również w listopadzie – w miesiącu tym zwiększyła się też ilość spamu pochodzącego z Wietnamu, Indii oraz Indonezji. W 2010 roku udział w dystrybucji spamu miał prawie każdy region świata. Nawet z Afryki - która wcześniej nie stanowiła źródła niechcianych wiadomości - pochodziło 1,64% ogółu spamu.

Analiza liczby wiadomości e-mail zawierających szkodliwe załączniki może pomóc zidentyfikować nowe obszary na świecie, z których spamerzy zaczynają przeprowadzać masowe wysyłki. Podczas tworzenia botnetu spamerzy zwykle wysyłają do użytkowników wiadomości z takimi załącznikami. Wiadomości te zawierają boty, które infekują komputery użytkowników w celu rozprzestrzeniania spamu. Między październikiem a grudniem 2010 r. znacznie zmniejszył się odsetek szkodliwych programów wykrytych w poczcie elektronicznej w Stanach Zjednoczonych i Europie Zachodniej, podczas gdy w Europie Wschodniej i Azji ilość szkodliwego oprogramowania wykrywanego w ruchu pocztowym wzrosła.

 enlarge.gif
Odsetek szkodliwego oprogramowania wykrywanego w wybranych krajach z rankingu Top 10 w okresie październik-grudzień 2010 r.

2011: stabilizacja

W przeciwieństwie do poprzedniego roku, w 2011 roku nie zarejestrowaliśmy wahań w udziale spamu rozprzestrzenianego z różnych regionów. Ogólnie, pierwszy kwartał 2011 r. był stosunkowo stabilny.

 enlarge.gif
Odsetek spamu według regionu w pierwszej połowie 2011 r.

Jednym z najbardziej wyraźnych trendów pierwszej połowy 2011 r. był stopniowy wzrost udziału Azji i Ameryki Łacińskiej w globalnym spamie, czemu towarzyszył spadek w ruchu spamowym pochodzącym z Europy Zachodniej i Wschodniej. Jak już wspomniano wcześniej, z wielu względów Azja i Ameryka Łacińska są atrakcyjne dla spamerów. To dlatego w regionach tych wzrosła liczba zainfekowanych komputerów wykorzystywanych do rozsyłania spamu.

W 2011 r. w rankingu państw stanowiących największe źródła spamu pojawiły się spore zmiany: nie można już powiedzieć, że za połowę spamu krążącego na świecie odpowiadają tylko trzy państwa. Obecnie rozkład maszyn zombie wykorzystywanych do rozprzestrzeniania niechcianych wiadomości jest dość równomierny.

 enlarge.gif
Źródła spamu według państwa w pierwszej połowie 2011 r.

„wolne” od sieci zainfekowanych komputerów: zainfekowane komputery rozsyłające spam można znaleźć teraz w Afryce Południowej oraz na dalekich wyspach Oceanu Spokojnego. Kraje rozwijające się przyciągają właścicieli botnetów ze względu na brak prawa antyspamowego oraz niski poziom bezpieczeństwa IT, podczas gdy kraje rozwinięte są dla nich atrakcyjne z powodu szybkiego, ogólnie dostępnego Internetu. Taki rozkład sygnalizuje koniec ekspansji geograficznej spamerów. Nie zostały już żadne terytoria.

Przyczyny migracji źródeł spamu

Na podstawie posiadanych informacji możemy wskazać kilka przyczyn zmiany rozkładu źródeł spamu według regionu.

  1. Sukcesy na froncie prawnym
    Na przykładzie Chin widać, w jaki sposób rozkład spamu zależy od skuteczności prawa antyspamowego danego państwa: po wprowadzeniu w życie ustawy antyspamowej liczba niechcianych wiadomości pochodzących z Chin znacząco zmniejszyła się i obecnie wynosi mniej niż 1% globalnego ruchu spamowego. Ponadto, wprowadzenie pod koniec 2009 r. ostrzejszych zasad rejestracji adresów internetowych wykorzystujących domenę “.cn” spowodowało znaczny spadek liczby szkodliwych i spamerskich stron w tej strefie. Naturalnie oprócz uchwalania ustaw chroniących przed spamem i szkodliwym oprogramowaniem należy również zapewnić narzędzia niezbędne do egzekwowania takich ustaw i wygląda na to, że Chiny posiadają takie narzędzia.

    Kolejnym przykładem do naśladowania może być Australia. Wykres źródeł spamu według regionu pokazuje, że Australia i wyspy pacyficzne rozprzestrzeniają mniej spamu niż jakikolwiek inny region, mimo że Australia to duży kraj z szerokim dostępem do Internetu. Przyczyną takiego stanu rzeczy jest obowiązująca obecnie australijska ustawa antyspamowa z 2003 roku – najostrzejsza ustawa chroniąca przed spamem. Australijski rząd włączył dostawców usług internetowych do aktywnej walki ze spamem: przepisy wymagają od nich wykrywania komputerów zombie w swoich sieciach (zainfekowanych komputerach użytkowników końcowych, które rozprzestrzeniają szkodliwe oprogramowanie i spam) i pomagania swoim użytkownikom w leczeniu zainfekowanych maszyn. Ponadto, użytkownikom oferuje się łatwe narzędzie do zgłaszania spamu: jedno kliknięcie myszki wystarczy, aby wysłać próbkę niechcianej wiadomości do organów państwowych odpowiedzialnych za walkę ze spamem.
  2. Ekspansja geograficzna
    Rozwój Internetu oraz jego globalna ekspansja spowodowały wzrost liczby państw rozprzestrzeniających spam. Przez ostatnie pięć lat spam zaczął być wysyłany z państw położonych w Ameryce Łacińskiej, Azji, na Bliskim Wschodzie i w Afryce. Ekspansja geograficzna spamerów praktycznie dobiegła końca.
  3. Zamknięcie botnetów
    Zamknięcie botnetów wpływa na ilość i rozkład spamu w czasie rzeczywistym. Wprawdzie niektóre sieci zombie zawierają komputery zlokalizowane na całym świecie, zwykle jednak są skoncentrowane w jednym regionie. Zamknięcie centrów kontroli botnetów w określonym regionie prowadzi do znacznego zmniejszenia ilości spamu pochodzącego z tego obszaru.
  4. Zamknięcie programów partnerskich
    Takie przypadki są rzadkie i w dużym stopniu zależą od aktywności organów ścigania. Najlepszym tego przykładem było zamknięcie programu partnerskiego SpamIt specjalizującego się w spamie farmaceutycznym, które miało miejsce w październiku 2010 r. i wywarło wpływ na treść oraz rozkład geograficzny spamu.

Wnioski i prognozy

Obecnie lwia część spamu jest rozsyłana przy pomocy botnetów – sieci zainfekowanych komputerów połączonych z centrami kontroli obsługiwanymi przez cyberprzestępców. Pozostały spam jest wciąż rozprzestrzeniany bezpośrednio z serwerów spamerów. Lokalizacja takich serwerów i botnetów zależy od wielu czynników, w tym od istnienia i skuteczności prawa antyspamowego w różnych państwach oraz działań antybotnetowych zarówno rządowych jak i pozarządowych inicjatyw. Ponadto, spamerzy biorą jeszcze pod uwagę takie czynniki, jak poziom wiedzy komputerowej i ochrony IT w danym kraju oraz częstotliwość aktualizacji oprogramowania na maszynach użytkowników.

Statystyki pokazują, że rozkład źródeł spamu na świecie jest dzisiaj jeszcze bardziej równomierny. Można to łatwo wyjaśnić tym, że zanika przepaść między krajami rozwijającymi się a rozwiniętymi pod względem dostępu do Internetu, podczas gdy jakość kanałów komunikacji wzrasta. Naturalnie, jest to proces, który może trwać całe dekady, ostatecznie jednak doprowadzi do sytuacji, w której wszystkie państwa będą równie atrakcyjne dla właścicieli botnetów.

Grupa państw BRICS (Brazylia, Rosja, Indie Chiny i Republika Południowej Afryki) oraz inne szybko rozwijające się kraje znajdą się w czołówce rankingu największych źródeł spamu, ponieważ są one szczególnie interesujące dla spamerów z punktu widzenia „prawa/ochrony IT/liczby użytkowników/prędkości łącza”.

Spodziewamy się, że ilość spamu pochodzącego ze Stanów Zjednoczonych wzrośnie, chociaż nie osiągnie wcześniejszego poziomu. Powszechny dostęp do Internetu oraz duża liczba użytkowników przyciągają uwagę właścicieli botnetów mimo wielu ustaw antyspamowych przyjętych w tym kraju oraz wysokiego poziomu ochrony IT. W maju 2011 r. Stany Zjednoczone zajęły 2 miejsce w rankingu państw, w których najczęściej wykrywano szkodliwe oprogramowanie w ruchu pocztowym, i od tego czasu nie spadły poniżej 4 miejsca, co bezpośrednio świadczy o obecności botnetów na tym obszarze.

Rok 2010 pokazał, że spam może być skutecznie zwalczany zarówno przy użyciu filtrowania jak i innych środków, takich jak zamykanie centrów kontroli botnetów oraz pociąganie winnych do odpowiedzialności karnej. Mamy nadzieję, że wszechstronne środki ochrony antyspamowej podjęte do tej pory będą stosowane również w przyszłości.

Źródło:
Kaspersky Lab