Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Zagrożenia września 2011 wg Kaspersky Lab


malware_top_20.png

Poniższe statystyki zostały przygotowane dla września na podstawie danych zebranych z komputerów, na których zainstalowano produkty Kaspersky Lab:

  • zablokowano 213 602 142 ataków sieciowych;
  • udaremniono 80 774 804 infekcji internetowych;
  • wykryto i zneutralizowano 263 437 090 szkodliwych programów na komputerach użytkowników;
  • zarejestrowano 91 767 702 werdyktów heurystycznych.

Nowy zestaw sztuczek cyberprzestępców

Infekcje BIOS-u: ostatnia granica pokonana?

We wrześniu byliśmy świadkami wydarzeń, które mogą mieć ogromny wpływ na przyszły rozwój szkodliwych programów oraz technologii antywirusowych, w tym m.in. odkrycie przez ekspertów z kilku firm antywirusowych nowego trojana zdolnego do infekowania BIOS-u.

Uruchamiając się z BIOS-u zaraz po włączeniu komputera, szkodliwy program może przejąć kontrolę nad wszystkimi etapami rozruchu PC-ta lub systemu operacyjnego. Wcześniej nie słyszano o przypadkach wstrzykiwania szkodliwego kodu na tym etapie. W 1998 roku krążył wirus CIH (znany również jako „Czarnobyl”), który przeprogramowywał BIOS. Jednak, wszystko do czego był zdolny, to uszkodzenie BIOS-u w sposób uniemożliwiający uruchomienie komputera. Warto pamiętać, że CIH nie mógł przejąć kontroli nad systemem operacyjnym.

Oczywistym jest, że taka infekcja znajduje się w kręgu zainteresowań twórców szkodliwych programów, chociaż proces jest pełen zawiłości. Głównym wyzwaniem jest niestandardowy format BIOS-u: autor szkodliwego programu musi mieć na względzie wszystkich producentów BIOS-u i zrozumieć algorytmy oprogramowania znajdującego się w pamięci ROM. Rootkit wykryty we wrześniu został zaprojektowany do infekowania BIOS-u wyprodukowanego przez firmę Award i prawdopodobnie powstał w Chinach. Kod trojana jest niedokończony, ale zweryfikowaliśmy jego funkcjonalność i okazuje się, że działa.

Rootkit posiada dwie podstawowe funkcje, które wykryto w kodzie uruchamianym z głównego rekordu rozruchowego (MBR - Master Boot Rekord). Jedynym zadaniem kodu wstrzykiwanego do BIOS-u jest upewnienie się, że zainfekowana kopia zapasowa znajduje się w głównym rekordzie rozruchowym, oraz zainicjowanie infekcji, jeżeli nie miała ona miejsca. Zainfekowany rekord MBR i odpowiadające mu sektory znajdują się w tym samym module ISA ROM i dlatego, gdy pojawią się jakiekolwiek niezgodności, główny rekord rozruchowy może zostać ponownie zainfekowany bezpośrednio z BIOS-u. Zwiększa to znacznie prawdopodobieństwo, że komputer pozostanie zainfekowany nawet wtedy, gdy główny rekord rozruchowy zostanie wyleczony. Technologie Kaspersky Lab z powodzeniem wykrywają infekcje spowodowane przez nowego rootkita. Pozostaje pytanie, czy zainfekowany BIOS może zostać wyleczony, ale to będzie jasne, gdy pojawi się więcej szkodliwych programów z podobnymi funkcjami. Aktualnie możemy stwierdzić, że Rootkit.Win32.Mybios.a jest jedynie kodem typu „proof of concept”, mającym na celu udowodnienie możliwości napisania programu i nie jest przeznaczony do masowej dystrybucji.

Ataki skierowane przeciwko indywidualnym użytkownikom

Zamknięcie botneta Hlux/Kelihos

Wrzesień był miesiącem wielkiego przełomu w walce z sieciami zainfekowanych komputerów – zamknięto botnet Hlux (znany także jako Kelihos). Współpraca między firmami Kaspersky Lab, Microsoft i Kyrus Tech doprowadziła nie tylko do przejęcia sieci maszyn zainfekowanych Hluxem (jest to precedens – nigdy wcześniej nie udało się przejąć botnetu o architekturze P2P), ale także do zamknięcia całej domeny cz.cc. Przez cały 2011 rok domena ta była siedliskiem różnych zagrożeń: fałszywych programów antywirusowych (także na system operacyjny Mac OS X), backdoorów i oprogramowania spyware. Domena ta pełniła również funkcję hosta dla centrów kierowania tuzinami botnetów.


Spadek w liczbie szkodliwych stron w domenie cz.cc (źródło: Kaspersky Security Network)

W momencie wyłączenia botnetu Hlux liczba jego komputerów przekraczała 40 000, co umożliwiało wysyłanie dziesiątek milionów wiadomości spamowych każdego dnia, wykonywanie ataków DDoS oraz pobieranie szkodliwych programów na maszyny ofiar. Eksperci z Kaspersky Lab śledzili botnet od początku 2011 r. Kontynuując analizę wszystkich jego komponentów, złamaliśmy protokół komunikacyjny Hluxa i stworzyliśmy odpowiednie narzędzia do przejęcia kontroli nad jego siecią. Firma Microsoft wystąpiła na drogę sądową z powództwem cywilnym przeciwko kilku osobom, które mogą mieć związek z utworzeniem botnetu.

Kaspersky Lab aktualnie kontroluje botnet i cały czas jest w kontakcie z dostawcami usługi mającej na celu pomóc w czyszczeniu zainfekowanych systemów osobom, które tego potrzebują. Informacje o Hluxie zostały dodane do narzędzia Malicious Software Removal Tool firmy Microsoft, co pomoże w znacznym stopniu zredukować liczbę zainfekowanych maszyn. Więcej informacji o botnecie Hlux i jego zamknięciu można znaleźć na blogu naszego eksperta Tillmana Wernera: http://www.viruslist.pl/weblog.html?weblogid=754.

Wojna z botnetami nie słabnie i aktualnie mamy na oku kilka niebezpiecznych sieci zombie. Spodziewajcie się więc kolejnych informacji dotyczących zamykania następnych sieci.

DigiNotar zhakowany

Do listy zagrożeń, których celem są indywidualni użytkownicy, dodaliśmy atak na holenderski urząd certyfikacji DigiNotar. Pomimo tego, że zaatakowane zostały komputery firmy, to jednym z głównych celów hakerów było utworzenie fałszywych certyfikatów SSL dla kilku popularnych zasobów, w tym sieci społecznościowych i usług pocztowych, z których korzystają użytkownicy indywidualni.

Atak miał miejsce pod koniec lipca i pozostał niezauważony przez sierpień, umożliwiając cyberprzestępcom manipulowanie systemem DigiNotar w celu utworzenia kilku tuzinów certyfikatów dla zasobów sieciowych, takich jak Gmail, Facebook i Twitter. Ich użycie zostało później zarejestrowane w Internecie jako część ataku na użytkowników z Iranu. Fałszywe certyfikaty umożliwiają przeprowadzenie ataków „man-in-the-middle” (czyli z użyciem pośrednika) i dzięki temu, że są instalowane z poziomu dostawcy, pozwalają na przechwytywanie wszystkich informacji przesyłanych między użytkownikami a serwerem.

Anonimowy cyberprzestępca z Iranu w końcu przyznał się do ataku i dostarczył dowód swojego zaangażowania w tę sprawę. Był to ten sam człowiek, który utworzył kilka podrobionych certyfikatów po podobnym ataku na Comodo - inny urząd certyfikujący.

Historia DigiNotar ponownie każe zadać sobie pytanie, na ile bezpieczny jest istniejący system setek urzędów certyfikujących, a także dyskredytuje samą ideę certyfikatów cyfrowych. Istnieje małe prawdopodobieństwo, że błędy w bezpieczeństwie, jakie zostały ujawnione przez te ataki, są na tyle poważne, aby traktować je priorytetowo i tworzyć dodatkowe narzędzia autoryzacyjne angażujące firmy zajmujące się bezpieczeństwem IT, dostawców przeglądarek oraz urzędy certyfikujące, których liczba najprawdopodobniej powinna zostać zredukowana.

Promowanie fałszywego programu antywirusowego poprzez Skype’a

W marcu Skype był wykorzystywany do nakłaniania niczego niepodejrzewających użytkowników do pobierania fałszywych programów antywirusowych. Jeżeli użytkownicy nie zaznaczyli w ustawieniach Skype’a opcji ograniczającej przychodzenie połączeń od ludzi nieznajdujących się na liście kontaktów, wówczas mogli oni otrzymywać telefony ze specjalnie utworzonych kont o nazwach, takich jak ONLINE REPORT NOTICE lub System Service. Jeżeli połączenie zostało odebrane, głos z automatu informował użytkowników, że ich system operacyjny jest zagrożony i że muszą wejść na konkretną stronę. Strona wykonywała fałszywe skanowanie systemu i oczywiście “wykrywała” luki w ochronie lub szkodliwe oprogramowanie. Aby usunąć te zagrożenia, użytkownicy musieli kupić “oprogramowanie antywirusowe”, które tylko imitowało leczenie.

Taktyka ta nie była wcześniej wykorzystywana, jednak jak widać spodobała się cyberprzestępcom, ponieważ we wrześniu otrzymaliśmy kolejne zgłoszenia od użytkowników skarżących się na połączenia przychodzące z konta URGENT NOTICE. Po odebraniu połączenia użytkownicy byli informowani, że system bezpieczeństwa na ich komputerach jest nieaktywny, w związku z czym należy wejść na stronę, na której za 19,95 dolarów można aktywować „ochronę” na komputerze. Adres strony sugeruje, że za atakiem stali ci sami ludzie, którzy podobnie wykorzystali Skype’a już wiosną.

Aby zablokować spam w Skypie, należy skonfigurować ustawienia tak, aby połączenia, filmy i wiadomości mogły być odbierane wyłącznie od użytkowników znajdujących się na liście kontaktów.

Mobilne zagrożenia

We wrześniu wykryliśmy 680 nowych wariantów szkodliwych programów dla różnych platform mobilnych – 559 z nich było przeznaczonych do atakowania Androida. W ostatnich miesiącach odnotowaliśmy znaczący wzrost całkowitej liczby szkodliwych programów na Androida, a w szczególności backdoorów: spośród 559 zagrożeń wykrytych na system Google, 182 (32,5%) to modyfikacje z funkcjami backdoora (w lipcu liczba ta wynosiła 46, a w sierpniu 54).

Oczywistym było, że wcześniej czy później większość szkodliwych programów przeznaczonych na urządzenia mobilne zacznie rozlegle korzystać z Internetu w celu, na przykład, łączenia się ze zdalnymi serwerami do odbierania poleceń.

SpitMo + SpyEye = skradzione kody mTAN

Aktualnie znane są dwa mobilne trojany – ZitMo i SpitMo – które zostały zaprojektowane do przechwytywania wiadomości tekstowych zawierających kody mTAN (kody jednorazowe służące do autoryzowania transakcji bankowych, wysyłane przez banki w postaci SMS-ów). ZitMo współpracuje z trojanem ZeuS, natomiast SpitMo jest połączony z innym niebezpiecznym szkodnikiem – SpyEye. ZitMo prowadzi pod względem liczby platform, które może infekować (Symbian, Windows Mobile, Android oraz BlackBerry), chociaż we wrześniu wykryto wersję SpitMo działającą na Androidzie.

SpitMo i SpyEye działają praktycznie w ten sam sposób, co duet ZitMo-Zeus. Pliki konfiguracyjne trojana SpyEye sugerują, że jego celem byli klienci kilku hiszpańskich banków. Użytkownicy komputerów zainfekowanych szkodnikiem SpyEye otrzymują wiadomości o stronie zmodyfikowanej przez szkodliwy program, z której należy zainstalować ważną aplikację przeznaczoną na smartfon. Aplikacja ta ma chronić wiadomości tekstowe zawierające kody mTAN. W rzeczywistości jednak instalowany jest szkodliwy program SpitMo, który wysyła wszystkie przychodzące SMS-y na zdalny serwer należący do cyberprzestępcy. Wiadomości są wysyłane w następującym formacie:

SpitMo zawiera plik konfiguracyjny XML, który określa sposób wysyłania przechwyconej wiadomości tekstowej: poprzez HTTP lub SMS. Ten rodzaj funkcji jest nowy i bez wątpienia możemy się spodziewać modyfikacji tego typu szkodliwych programów.

Ataki z wykorzystaniem kodów QRs

Koniec września to pierwsze próby ataków z wykorzystaniem kodów QR. Obecnie dużo ludzi używa komputerów do wyszukiwania nowych aplikacji dla swoich urządzeń mobilnych. Aby ułatwić instalację oprogramowania na smartfonach i pozwolić na uniknięcie wprowadzania adresu strony, wiele stron internetowych oferuje uproszczony proces wykorzystujący skanowanie kodu QR. Wygląda na to, że cyberprzestępcy również postanowili ułatwić pobieranie szkodliwego oprogramowania. Wykryliśmy kilka szkodliwych stron zawierających kody QR dla mobilnych aplikacji (np. Jimm i Opera Mini), które zawierały trojana zdolnego do wysyłania wiadomości tekstowych na numery o podwyższonej opłacie.

top20_september_03.png

Na początku października wykryliśmy kody QR prowadzące do szkodliwych programów przeznaczonych na Androida i J2ME – ulubione platformy mobilne cyberprzestępców.

Zagrożenia dla Mac OS X - nowy trojan ukrywający się w dokumentach PDF

Pod koniec września nasi koledzy z F-Secure wykryli nowy szkodliwy program przeznaczony dla systemu Mac OS X (identyfikowany przez produkty Kaspersky Lab jako Backdoor.OSX.Imuler.a). Backdoor ten może otrzymywać zdalne polecenia, a także wysyłać do cyberprzestępcy losowe pliki i zrzuty ekranu z zainfekowanego systemu.

W przeciwieństwie do szkodnika Backdoor.OSX.Olyx.a, który był rozpowszechniany w archiwum RAR poprzez wiadomości e-mail, w tym przypadku cyberprzestępcy wykorzystują dokument PDF.

Odbieranie wiadomości e-mail z załącznikami, które posiadają dodatkowe rozszerzenia, takie jak .pdf.exe lub .doc.exe, może być normalne dla wielu użytkowników systemu Windows, którzy wiedzą, że zawierają one zagrożenia i po prostu usuwają je bez otwierania. Jednak taktyka ta okazała się być nowością dla użytkowników systemu Maków, szczególnie dlatego, że w systemach opartych na Uniksie nie występuje rozszerzenie .exe. W wyniku tego użytkownicy systemu Mac OS X, którzy otrzymali takie pliki w wiadomościach e-mail, są bardziej skłonni uruchomić szkodliwy kod ukrywany w pliku PDF, obrazku lub dokumencie itd.

Interesujące jest to, że w atakach tego typu, podczas uruchamiania szkodliwego kodu nie jest wymagane podanie hasła — kod jest instalowany w katalogu aktualnie zalogowanego użytkownika i działa tylko z folderami tymczasowymi.

Ten rodzaj technologii został już wykryty w szkodliwym programie MacDefender. Na szczęście w przypadku Imulera skala problemu była znacznie mniejsza.

Ataki na sieci państwowe i korporacyjne

Wygląda na to, że w każdym miesiącu można zaobserwować atak na korporację lub instytucję. Wrzesień nie jest tu żadnym wyjątkiem.

Atak na Mitsubishi

Informacje o ataku na japońską korporację Mitsubishi pojawiły się w środku miesiąca, chociaż nasze badania sugerują, że prawdopodobnie atak został zapoczątkowany w lipcu, a w aktywną fazę wszedł w sierpniu. Według japońskiej prasy, w fabrykach produkujących sprzęt dla przemysłu okrętowego, rakietowego i jądrowego zainfekowanych zostało około 80 komputerów i serwerów. Szkodliwe programy zostały wykryte, na przykład, na komputerach zakładu zajmującego się budownictwem okrętowym w Kobe, specjalizującym się w produkcji okrętów podwodnych i części wykorzystywanych w elektrowniach jądrowych. Fabryki w Nagoya odpowiedzialne za produkcję rakiet i silniki rakietowych oraz fabryka w Nagasaki wytwarzająca łodzie patrolowe również były celem ataków. Szkodliwe oprogramowanie zostało także wykryte na komputerach w siedzibie firmy.

Eksperci z Kaspersky Lab zdołali uzyskać próbki szkodliwego oprogramowania użytego podczas ataku. Możemy stwierdzić, że atak został starannie zaplanowany i przeprowadzony. Był on wykonywany zgodnie ze znanym scenariuszem: pod koniec lipca kilku pracowników firmy Mitsubishi otrzymało od cyberprzestępców wiadomości e-mail zawierające plik PDF, który był szkodliwym programem wykorzystującym do infekcji luki w programie Adobe Reader. Szkodliwy moduł został zainstalowany natychmiast po otwarciu pliku, w wyniku czego cyberprzestępcy uzyskali pełny zdalny dostęp do systemu. Następnie z zainfekowanego komputera atakujący dokonali głębszej infekcji sieci firmy, łamiąc serwery i zbierając informacje, które następnie zostały przesłane na kontrolowany przez nich serwer. W ataku użyto około tuzina różnych szkodliwych programów, a niektóre z nich zostały stworzone z myślą o wewnętrznej sieci firmy.

W tej chwili nie można stwierdzić, jakie dokładnie informacje zostały skradzione, ale prawdopodobnie zaatakowane komputery zawierały poufne dane o znaczeniu strategicznym.

Lurid

Potencjalnie bardziej poważny incydent został odkryty przez Trend Micro podczas badania wykonanego przez ekspertów tejże firmy. Udało im się przechwycić żądania do kilku serwerów, używanych do kontrolowania sieci 1 500 zaatakowanych komputerów znajdujących się głównie w Rosji, krajach byłego ZSRR oraz krajach Europy Wschodniej. Incydent ten otrzymał nazwę Lurid.

Dzięki naszym kolegom z Trend Micro mogliśmy przeprowadzić analizę listy ofiar z Rosji. Analiza wykazała, że mamy do czynienia z atakiem skierowanym przeciwko bardzo specyficznym organizacjom. Atakujący byli zainteresowani przemysłem kosmicznym, instytucjami badań naukowych, kilkoma firmami komercyjnymi, organami państwowymi i agencjami związanymi z mediami.

Lurid był skierowany jednocześnie na firmy z kilku krajów i został zapoczątkowany w marcu tego roku. Podobnie jak w ataku na Mitsubishi, także i w tym przypadku na początku rozsyłane były wiadomości e-mail. W przypadku Lurida również ciężko jest wskazać faktyczną liczbę i wartość skradzionych danych, chociaż lista celów sama mówi za siebie.

Lekcja z przeszłości: 10 rocznica robaka Nimdah

Jednym z najbardziej znaczących zagrożeń początku XXI wieku jest robak Nimda. 10 lat temu używał on rozmaitych metod do infekowania komputerów i serwerów, ale najbardziej znaczące infekcje, które okazały się światową epidemią, były rozpowszechniane w załącznikach wiadomości e-mail. 18 września 2001 roku cyberprzestępcy wysłali wiadomości z załącznikami zawierającymi szkodliwy plik wykonywalny. W tym czasie było to nowością i niczego niepodejrzewający użytkownicy uruchamiali aplikację znajdującą się w e-mailu. W dzisiejszych czasach prawie każdy użytkownik jest świadomy ryzyka, jakie niesie nie tylko uruchamianie programu z wiadomości spamowej, ale także klikanie odnośników w wiadomościach od nieznanych nadawców.

Może przez ostatnie 10 lat taktyki uległy zmianie, ale wiadomości e-mail wciąż pozostają jedną z najpopularniejszych metod rozpowszechniania szkodliwych programów. Cyberprzestępcy są bardziej przebiegli niż 10 lat temu i wykorzystują luki w popularnych programach. Użytkownicy zazwyczaj kojarzą pliki posiadające rozszerzenia .doc, .pdf, oraz .xls z dokumentami zawierającymi tekst i tabele, co nie wzbudza ich podejrzeń.

Producenci aplikacji regularnie tworzą uaktualnienia usuwające luki w ich produktach, jednak wielu użytkowników nie aktualizuje oprogramowania zainstalowanego na swoich komputerach, a cyberprzestępcy z chęcią to wykorzystują. Większość użytkowników nieufnie podchodzi do wiadomości od nieznajomych. Dlatego też, gdy komputer zostanie zainfekowany, cyberprzestępcy kradną informacje pozwalające im podszywać się pod innych ludzi. Mogą to być dane dostępowe do kont pocztowych, serwisów społecznościowych czy komunikatorów internetowych. Wiadomości e-mail są także często wykorzystywane w atakach przeprowadzanych na organizacje.

Wrześniowe statystyki

10 najpopularniejszych zagrożeń

1 Blocked 89,37%
2 UFO:Blocked 3,45%
3 Trojan.Script.Iframer 2,27%
4 Trojan.Script.Generic 1,79%
5 AdWare.Win32.Eorezo.heur 1,47%
6 Exploit.Script.Generic 1,02%
7 Trojan.Win32.Generic 0,90%
8 Trojan-Downloader.Script.Generic 0,74%
9 WebToolbar.Win32.MyWebSearch.gen 0,65%
10 AdWare.Win32.Shopper.ee 0,45%

10 największych źródeł szkodliwych programów

1 Stany Zjednoczone 22,14%
2 Federacja Rosyjska 15,18%
3 Niemcy 14,37%
4 Holandia 7,27%
5 Stany Zjednoczone 4,92%
6 Ukraina 4,56%
7 Chiny 2,84%
8 Wyspy Dziewicze 2,51%
9 Francja 2,28%
10 Rumunia 1,97%

10 największych hostów szkodliwego oprogramowania

1 ru-download.in 13,94%
2 jimmok.ru 10,54%
3 ak.imgfarm.com 10,15%
4 72.51.44.90 9,05%
5 lxtraffic.com 7,77%
6 literedirect.com 5,90%
7 adult-se.com 5,87%
8 jimmmedia.com 4,70%
9 best2banners.com 3,76%
10 h1.ripway.com 3,75%

10 największych szkodliwych stref domen:

1 com 36 982 032
2 ru 19 796 243
3 net 2 999 267
4 info 2 898 749
5 in 2 712 188
6 org 1 885 626
7 cc 1 103 876
8 tv 1 046 426
9 kz 954 370
10 tk 585 603

10 krajów z największym odsetkiem ataków szkodliwego oprogramowania

1 Federacja Rosyjska 41,103
2 Armenia 40,1141
3 Kazachstan 34,5965
4 Białoruś 33,9831
5 Oman 31,752
6 Azerbejdżan 31,1518
7 Ukraina 30,8786
8 Republika Korei 30,7139
9 Irak 29,1809
10 Sudan 29,094

Źródło:
Kaspersky Lab