Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja zagrożeń IT: III kwartał 2011 r.


Jurij Namiestnikow
Ekspert z Kaspersky Lab


Przegląd

Pożegnaj się ze swoją firmą: atak hakerski na DigiNotar

Niepozorna wiadomość na forum Google’a, która pojawiła się w sierpniu, zapoczątkowała dochodzenie, które ostatecznie pogrążyło instytucję certyfikującą DigiNotar. Wszystko zaczęło się od tego, że jednego z użytkowników zaniepokoił fakt, że jego przeglądarka ostrzega go przed podejrzanym certyfikatem google.com, który wyglądał na legalny. W wyniku jego zgłoszenia na światło dzienne wydobyty został głośny dzisiaj atak hakerski na DigiNotar, który umożliwił cyberprzestępcom wygenerowanie 531 fałszywych certyfikatów. Wykorzystując fałszywe certyfikaty SSL dla stron internetowych, cyberprzestępcy mogą uzyskać dostęp do danych wysyłanych na i z takich stron, nawet gdy jest stosowane połączenie szyfrowane.

Serwer DigiNotar padł ofiarą ataku prawdopodobnie na początku lipca 2011 r. Pierwszy fałszywy certyfikat, jaki wykryto, został wydany 10 lipca 2011 r. Według oświadczenia przedstawicieli DigiNotar, 19 lipca pracownicy tej firmy zorientowali się, że miał miejsce atak i anulowali fałszywe certyfikaty. DigiNotar uznał takie działanie za wystarczające i zdecydował się nie informować o incydencie opinii publicznej. Decyzja ta, jak się później okazało, miała katastrofalne skutki: firmie nie udało się zidentyfikować i anulować wszystkich fałszywych certyfikatów, a odpowiedzialni za to włamanie szkodliwi użytkownicy wykorzystali je do przeprowadzenia ataków na użytkowników.

Atak hakerski na DigiNotar okazał się znacznie poważniejszy niż podobny incydent, w efekcie którego zostały opublikowane fałszywe certyfikaty w imieniu instytucji certyfikującej Comodo. Wśród wielu zasobów, jakie zostały zaatakowane w incydencie DigiNotar, znalazły się zasoby należące do agencji rządowych kilku państw jak również największych serwisów internetowych, takich jak Google, Yahoo!, Tor oraz Mozilla.

531 fałszywych certyfikatów wydanych dla różnych stron internetowych w ramach incydentu, którego ofiarą padł DigiNotar, obejmowało certyfikaty dla stron należących do agencji wywiadowczych ze Stanów Zjednoczonych (CIA), Izraelu (Mossad) oraz Wielkiej Brytanii (Mi6). Nie wiadomo, czym kierowali się hakerzy w tych konkretnych przypadkach, ponieważ oficjalne strony internetowe agencji wywiadowczych nie są wykorzystywane do przekazywania poufnych informacji.

Jednym z najważniejszych klientów DigiNotar był rząd holenderski. Certyfikaty tej firmy były wykorzystywane przez szereg różnych agencji, np. odpowiedzialnych za zarządzanie ruchem drogowym, transportem oraz pojazdami, rejestracją gruntów, obsługą podatków itd. Po ataku hakerskim na serwery DigiNotar holenderskie agencje rządowe zmuszone były zaprzestać korzystania z usług DigiNotar oraz anulować swoje certyfikaty. To oznaczało, że wiele systemów musiało zostać na nowo dostosowanych do pracy z nowymi certyfikatami, co w przypadku niektórych klientów spowodowało przestój w działalności biznesowej.

Atak ten pokazał, że użycie fałszywych certyfikatów może sparaliżować systemy bezpośrednio powiązane z gospodarką danego kraju lub jego agencjami rządowymi.

Koniec afery związanej z DigiNotar nastąpił wraz z ogłoszeniem przez tą firmę bankructwa. Oprócz zniszczonej reputacji firma straciła wszystkich swoich klientów. Nie jest to pierwszy taki przypadek, gdy firma została zmuszona wycofać się z biznesu na skutek aktywności cyberprzestępców. BlueFrog został wykluczony z biznesu antyspamowego w 2006 roku, po tym jak na skutek masowego ataku DDoS przez dłuższy czas nie działały serwery tej organizacji. Sprzedaż HBGary Federal została odwołana po tym, jak atak przeprowadzony przez Anonymous znacząco zmniejszył wartość tej firmy. Z kolei w tym roku australijski dostawca Distribute.IT utracił na skutej ataku hakerskiego wszystkie dane na swoich serwerach. Firmie nie pozostało nic innego, jak tylko zamknąć swoją działalność oraz pomóc stronom internetowym i klientom znaleźć nowych dostawców.

Naturalnie, nie wszystkie duże ataki hakerskie kończą się tak dramatycznie. Niedawne incydenty z udziałem Sony, RSA i Mitsubishi pokazują, że nawet po czymś takim można utrzymać się w biznesie. Trzeba jednak pamiętać, że dużym firmom jest o wiele łatwiej odbudować reputację niż małym . W przypadku małej organizacji, bezpieczeństwo IT to jeden z czynników, które decydują o tym, czy biznes przetrwa czy nie.

Atak na DigiNotar to drugi przypadek w tym roku, gdy włamano się do organizacji certyfikującej. Chociaż firmy wydające główne certyfikaty SSL mają obowiązek przejść audyt bezpieczeństwa, wygląda na to, że poziom bezpieczeństwa w DigiNotar i będącym jego odpowiednikiem Comodo pozostawiał wiele do życzenia. Pozostaje pytanie: jak dobrze zabezpieczone są inne organizacje certyfikujące? Miejmy nadzieję, że przypadek DigiNotar posłuży jako ostrzeżenie dla innych graczy na rynku, aby zaostrzyli swoje polityki bezpieczeństwa.

Możliwość łatwych pieniędzy przyciąga profesjonalistów do Bitcoin

Możliwość zarobienia pieniędzy praktycznie nie kiwnąwszy nawet palcem, zwłaszcza poprzez wykorzystanie komputera innej osoby – to dla cyberprzestępców zbyt dobra okazja, aby z niej nie skorzystać. Pierwsze szkodliwe programy, których celem była kradzież środków z kont na Bitcoinie lub generowanie pieniędzy w systemie, zostały wykryte w drugim kwartale 2011 r. Szkodniki te nie były ani bardzo wyrafinowane, ani szeroko rozpowszechnione. Jednak sytuacja zmieniła się w trzecim kwartale. Zidentyfikowaliśmy kilka incydentów, które sugerują, że ten nielegalny sposób zarabiania pieniędzy przemówił do wyobraźni niektórych doświadczonych cyberprzestępców.

W sierpniu we współpracy z Arbor Networks wykryliśmy szkodliwy program o nazwie Trojan.Win32.Miner.h, którego celem jest tworzenie botnetów P2P. Analiza wykazała, że zbudowana przez ten program sieć składała się z co najmniej 38 000 komputerów, do których można uzyskać dostęp z Internetu. Trzeba jednak pamiętać, że wiele z dzisiejszych komputerów działa „za ruterami” i innymi urządzeniami sieciowymi, dlatego liczba maszyn w botnecie może być znacznie wyższa. Cyberprzestępcy wykorzystują ten botnet do generowania bitcoinów. Po tym, jak zostanie pobrany na komputer, bot uruchamia trzy programy do generowania wirtualnej waluty - Ufasoft, RCP oraz Phoenix – które łączą się z kopalniami bitcoinów w różnych państwach.

Drugi przykład botnetu wykorzystanego do zarabiania pieniędzy na Bitcoinie to znacznie większy TDSS. Na początku sierpnia boty TDSS zaczęły otrzymywać nowy plik konfiguracyjny z programem do wydobywania bitcoinów oraz kopalnią Bitcoin, który w nowej sekcji zawierał nazwę i hasło beneficjenta. Nie było to zbyt mądre posunięcie ze strony cyberprzestępców, ponieważ dodanie nazwy i hasła oraz kopalni Bitcoin do pliku konfiguracyjnego umożliwiało szybkie położenia kresu temu oszustwu. Wkrótce jednak przyjęli bardziej wyrafinowane podejście. W Internecie dostępne jest oprogramowanie open source do tworzenia własnej kopalni - pushpool. Takie oprogramowanie wykorzystali cyberprzestępcy, którzy skonfigurowali je tak, aby pełniło funkcję serwera proxy dla rzeczywistej kopalni Bitcoin. Po połączeniu się z tym serwerem boty TDDS otrzymują losowo wygenerowane nazwy użytkowników oraz hasła do kopalni Bitcoin, po czym rozpoczynają generowanie pieniędzy. Prawdziwa nazwa użytkownika i nazwa kopalni Bitcoin są przechowywane na serwerze proxy, poprzez który dokonywane są wszystkie transakcje. Niestety, w ten sposób nie można się dowiedzieć, do kogo należy kopalnia Bitcoin ani ile bitcoinów zostało wygenerowanych. Według naszych danych, liczba komputerów zainfekowanych TDSS w pierwszym kwartale 2011 roku wynosiła 4,5 milionów. Ponad jedna czwarta takich maszyn jest zlokalizowana w Stanach Zjednoczonych, gdzie powszechnie wykorzystywane są najnowsza technologie komputerowe. Innymi słowy, właściciele TDSS mają do swej dyspozycji bardzo potężne zasoby komputerowe, które są coraz większe.

Trzeba jednak pamiętać, że ten sposób zarabiania pieniędzy podlega wahaniom kursu wymiany walut. W sierpniu botnet opary na trojanie Trojan.Win32.Miner.h zaczął pobierać boty DDoS. Mniej więcej w tym samym czasie przychody z bitcoinów zmniejszyły się na skutek znacznego spadku kursu wymiany walut: na początku sierpnia bitcoin był wart 13 dolarów; pod koniec września – tylko 4,8 dolarów.

Dane osobiste 35 milionów mieszkańców Korei Południowej w rękach hakerów

Jednym z najpoważniejszych incydentów w trzecim kwartale 2011 r. była kradzież danych osobistych należących do 35 milionów użytkowników portalu społecznościowego CyWorld z Korei Południowej. W ręce cyberprzestępców wpadły dane obejmujące imię i nazwisko, adres pocztowy oraz numer telefonu prawie trzech czwartych liczącej 49 milionów populacji tego państwa. Kradzież ta została dokonana w wyniku włamania się do serwerów SK Telecom, właściciela wyszukiwarki Nibu oraz portalu społecznościowego CyWorld.

Jakie mogą być skutki tej kradzieży? Po pierwsze, ich ofiary mogą stać się celem ataków phishingowych i spamowych. Cyberprzestępcy mogą wykorzystać te informacje, aby nakłonić użytkowników do ujawnienia tajemnic firm, dla których pracują. Zagrożonych jest również wiele systemów bezpieczeństwa opartych na danych osobowych, szczególnie tych wykorzystywanych przez banki. Co więcej, sprzedaż skradzionych danych jest popularna na czarnym rynku, gdzie bardziej tradycyjni cyberprzestępcy są zainteresowani tworzeniem fałszywych dokumentów.

Skutki tego ataku mogą dotknąć ponad 70% populacji Korei Południowej! Wiadomość o tym incydencie skłoniła nawet do zmiany polityki rządowej. Wcześniej, na skutek podjętej przez rząd Korei Południowej próby ukrócenia anonimowości w Internecie, przed opublikowaniem czegokolwiek na popularnych stronach użytkownicy musieli podać swoje prawdziwe dane osobowe. Po tak dużym wycieku rząd planuje „wyrzucić do kosza” te przepisy i przywrócić zezwolenie na anonimowość w Sieci.

Infekcje BIOSu: doskonalenie technologii ukrywania się

Powiedzenie „Wszystko już było” można doskonale odnieść do technologii infekowania BIOS-u oraz wykorzystującego ją nowego trojana: Backdoor.Win32.Mebromi.

Od pojawienia się niesławnego wirusa CIH (znanego również jako Chernobyl), który potrafił infekować BIOS, minęło ponad 10 lat. Dlaczego więc twórcy wirusów postanowili wrócić do infekowania MBR-a i BIOS-u? Otóż głównym czynnikiem, który ich do tego skłonił, są stosowane technologie antywirusowe. Nowe funkcje dostępne w dzisiejszych systemach operacyjnych, takie jak możliwość instalowania tylko sterowników od zaufanych producentów oraz sprawdzania integralności takich sterowników, utrudniło instalowanie rootkitów w uruchomionym systemie. To oznacza, że twórcy wirusów musieli poszukać sposobów uruchomienia swoich programów przed startem systemu operacyjnego.


Diagram 1. Standardowy proces rozruchu systemu operacyjnego

Jak widać na diagramie wyżej, istnieje kilka etapów, podczas których szkodliwi użytkownicy mogą próbować ingerować między momentem wciśnięcia przycisku „Power on” a startem systemu operacyjnego. Zgodnie z naszymi przewidywaniami, wzrost liczby systemów x64 doprowadził do zwiększenia się liczby bootkitów – szkodliwego oprogramowania, które infekuje MBR. Jednak producenci oprogramowania antywirusowego dość szybko znaleźli skuteczne rozwiązania na tego rodzaju infekcje. Dlatego cyberprzestępcom pozostało tylko infekowanie BIOS-u.

Backdoor.Win32.Mebromi składa się z kilku komponentów: instalatora, rootkita, droppera MBR z funkcjonalnością wirusa plikowego oraz droppera BIOS. Z naszego punktu widzenia, najbardziej interesujący jest kod dodawany do BIOS-u. Jego funkcjonalność ogranicza się do sprawdzania, czy MBR jest zainfekowany. Jeśli okaże się, że nie jest, szkodnik „przywraca” infekcję. Następnie program działa jak typowy bootkit, mimo że, teoretycznie, zainfekowany BIOS otwiera cały wachlarz możliwości przed szkodliwym kodem.

Przeglądając listę komponentów, na pierwszy rzut oka nie widać, gdzie kryje się szkodliwa funkcja. W rzeczywistości, cała ta złożona technologia jest wykorzystywana w jednym celu: aby potajemnie pobrać plik z internetu, a następnie ukryć go. Kod dodany do pliku systemowego wininit.exe (2000) lub winlogon.exe (XP/2003) przez droppera MBR jest odpowiedzialny za pobieranie programów z internetu. To właśnie taki pobrany plik - Trojan-Clicker – zarabia pieniądze dla cyberprzestępców.

Dlaczego Mebromi robi tak niewiele? Wygląda na to, że ma to coś wspólnego z faktem, że ten szkodliwy program składa się z różnych komponentów i opiera się głównie na znanym programie „proof of concept” służącym do infekowania BIOS-u, który został stworzony jeszcze w 2007 roku. To również wyjaśnia, dlaczego infekowany jest głównie BIOS produkowany przez AWARD.

A zatem, czy należy spodziewać się dalszego rozwoju tych technologii? Na razie, wydaje się to nieprawdopodobne, ponieważ rozwój tego rodzaju szkodliwego oprogramowania jest obarczony wieloma problemami. Większość komputerów nie wykorzystuje BIOS-u AWARD. Entuzjaści mogą próbować „wymyślić” coś podobnego do Mebromi również dla innego BIOS-u. Jednakże stworzenie uniwersalnego kodu dla wszystkich typów BIOS-u nie byłoby łatwe, ponieważ producenci stosują różne rozmiary i różne komponenty. Co więcej, ilość pamięci przeznaczonej na BIOS jest minimalna i po prostu może nie wystarczyć miejsca na szkodliwy kod. Z drugiej strony, twórcy wirusów mogą być bardziej zainteresowani nowszym formatem UEFI, który stopniowo zastępuje BIOS.

Ochrona przed i neutralizowanie tego typu szkodliwego oprogramowania jest wprawdzie trudne, ale nie niemożliwe dla rozwiązań antywirusowych. Same programy antywirusowe mogą zapisywać dane w BIOS-ie, a następnie usuwać wszelkie nadmiarowe dane. Jednak wymaga to dużej ostrożności, ponieważ nawet najmniejszy błąd może uniemożliwić uruchomienie komputera. Od czasu wspomnianego wcześniej wirusa CIH zaczęły pojawiać się płyty główne z zapasowymi chipami BIOS, co oznaczało, że w razie potrzeby można przywrócić BIOS.

Zagrożenia mobilne. Co przyniesie przyszłość?

Statystyki

Minęły czasy, gdy rozwój szkodliwego oprogramowania dla smartfonów był utrudniony poprzez fakt istnienia wielu producentów i mobilnych systemów operacyjnych. Z naszych statystyk wynika, że cyberprzestępcy wyraźnie postanowili skoncentrować się w swoich atakach na systemie Android. W trzecim kwartale dodaliśmy do naszych baz ponad 600 sygnatur różnych szkodliwych programów przeznaczonych dla tej platformy.


Liczba nowych sygnatur zagrożeń mobilnych atakujących wybrane platformy, I, II i III kwartał 2011 r.

Na drugim miejscu znalazły się szkodliwe programy dla J2ME, które atakowały głównie użytkowników w Chinach i krajach postsowieckich.

Udział szkodliwego oprogramowania dla Symbiana powoli zmniejsza się – w pierwszych trzech kwartałach 2011 r. tylko jeden na dziesięć nowych szkodliwych programów został napisany dla tej platformy.

Dla platformy iOS nie wykryto żadnych nowych programów zawierających szkodliwą funkcję - jedynie exploity potrafiące obejść systemy bezpieczeństwa i pozwalające na zainstalowanie i uruchomienie innego kodu. Wygląda jednak na to, że cyberprzestępcy nie śpieszą się z wykorzystaniem takich exploitów – użytkownicy wciąż muszą zostać zwabieni na stronę, poprzez którą może zostać przeprowadzony atak. Ataki na platformy iOS są ogólnie bardziej skomplikowane i pochłaniają więcej zasobów niż ataki na smartfony z Androidem i innymi systemami operacyjnymi.

Szkodliwe oprogramowanie dla Androida przejmuje prowadzenie

Odsetek szkodliwego oprogramowania dla Androida znacząco zwiększył się w trzecim kwartale 2011 r. i wynosił 40% wszystkich mobilnych szkodliwych programów wykrytych w 2011 r. Analiza szkodliwego oprogramowania dla Androida wykazała, że głównym czynnikiem tego wzrostu nie było stworzenie całkowicie nowego szkodliwego oprogramowania, ale pojawienie się dużej liczby dość prymitywnych szkodliwych programów, które potrafią kraść dane, wysyłać wiadomości tekstowe na numery o podwyższonej opłacie i wymuszać subskrypcję płatnych serwisów. Programy te stanowiły kalkę znanych wcześniej szkodliwych programów przeznaczonych do działania na platformie J2ME. Szkodniki te były “produkowane” na skalę masową – nowe programy powstawały automatycznie każdego dnia, a sprawdzone szkodliwe programy dla systemu J2ME migrowały masowo z istniejących urządzeń na urządzenia działające pod kontrolą Androida.

W ramach tej migracji pliki JAD (J2ME) zostały przekształcone na pliki pk/dex (Android OS). Z technicznego punktu widzenia jest to dość łatwe zadanie; co więcej, istnieją serwisy online oferujące pomoc w tej operacji. W rzeczywistości, przy pomocy internetowych serwisów umożliwiających konwertowanie szkodliwi użytkownicy zdołali dostosować swoje twory do działania w nowym środowisku, praktycznie bez ponoszenia jakichkolwiek kosztów.

Warto zauważyć, że zintegrowany w Androidzie system bezpieczeństwa może chronić użytkowników przed powszechnymi trojanami, jeżeli tylko użytkownicy stosują się do podstawowych zasad bezpieczeństwa. Niestety, chwila zawahania ze strony użytkownika może wystarczyć, aby trojan wykonał wszystkie operacje na wyświetlonej liście, co może mieć katastrofalne skutki – łącznie z pustym kontem bankowym.

Jednak cyberprzestępcy nie ograniczają się jedynie do masowej produkcji szkodliwych programów dla Androida. W ostatnim raporcie zauważyliśmy, że ewolucja mobilnego szkodliwego oprogramowania jest bardzo podobna do rozwoju szkodliwego oprogramowania dla systemu Windows. Cyberprzestępcy aktywnie wykorzystują wypróbowane techniki na nowych platformach. Wykryliśmy przypadki ukierunkowanych ataków na urządzenia z Androidem. Łatwo zauważyć, że wykorzystano metodę, która pomaga określić typ urządzenia oraz systemu operacyjnego poprzez parametr „użytkownik-agent” wysyłany przez przeglądarkę podczas odwiedzania strony internetowej. Procedura ta jest często wykorzystywana w różnych pakietach exploitów.

Bankowość online i trojany mobilne

Przewidywaliśmy, że cyberprzestępcy będą szukali nowych sposobów zarabiania pieniędzy na szkodliwym oprogramowaniu dla Androida i nie upłynęło wiele czasu, zanim stało się to rzeczywistością. W lipcu wykryto trojana dla Androida z rodziny Zitmo (zeus-in-the-mobile), który współpracuje ze swoim desktopowym odpowiednikiem, trojanem Trojan-Spy.Win32.Zeus, dzięki czemu cyberprzestępcy mogą obejść dwuskładnikowe uwierzytelnienie wykorzystywane przez wiele systemów bankowości online.

Jeżeli wykorzystywane jest uwierzytelnienie dwuskładnikowe, klient musi potwierdzić każdą transakcję oraz zalogowanie się do systemu poprzez wysłanie kodu, który bank wysyła na jego telefon komórkowy. Bez takich kodów cyberprzestępcy nie mogą ukraść pieniędzy z zabezpieczonych kont użytkowników, nawet po uzyskaniu do nich dostępu przy pomocy trojanów kradnących dane uwierzytelniające, takich jak ZeuS oraz SpyEye.

Cały system uwierzytelniania dwukierunkowego opiera się na założeniu, że cyberprzestępcy nie mogą uzyskać kodów, które banki wysyłają na telefony komórkowe swoich klientów. Założenie to będzie jednak błędne, w przypadku gdy ZeuS i Zitmo będą współpracować ze sobą.

We współpracy z Zitmo ZeuS infekuje komputer PC, kradnie poufne dane użytkowników i podstępnie nakłania ich do zainstalowania na swoich telefonach komórkowych trojana mobilnego. Po tym, jak użytkownik zaloguje się do systemu bankowości online, powita go wiadomość zachęcająca do zainstalowania mobilnej aplikacji, która rzekomo umożliwia korzystanie z bankowości online w trybie chronionym. Pod przykrywką legalnego programu o nazwie Trusteer Rapport, Trojan.AndroidOS.Zitmo przenika do telefonu użytkownika.

Po zagnieżdżeniu się na telefonie komórkowym użytkownika Zitmo zaczyna wysyłać kopie wszystkich przychodzących SMS-ów do szkodliwego serwera, łącznie z wiadomościami od banku zawierającymi dane uwierzytelniające oraz logowania się. Są to indywidualne kody, na których szczególnie zależy cyberprzestępcom. W połączeniu z danymi logowania i hasłami przekazanymi przez ZeuSa takie kody SMS mogą być wykorzystywane do przeprowadzania transakcji i przelewania pieniędzy na ich własne konta.

Należy zauważyć, że Zitmo był dystrybuowany między innymi za pośrednictwem oficjalnego Android Marketu, z którego został pobrany mniej niż 50 razy. Tak niewielka liczba pobrań sugeruje, że na razie cyberprzestępcy bardziej testują swoją nową technologię niż wykorzystują ją do przeprowadzania oszustw na dużą skalę. Oprócz opisanej wyżej istnieją również inne metody obejścia uwierzytelnienia transakcji online za pomocą telefonu komórkowego, takie jak zmiana wskazanego przez klienta numeru telefonu. Również ta metoda jest testowana przez cyberprzestępców, którzy chcą dowiedzieć się, który sposób obchodzenia procesu uwierzytelniania jest najbardziej skuteczny; wyniki tych eksperymentów będą miały wpływ na przyszłą ewolucję mobilnych trojanów, takich jak Zitmo.

Kody QR

Na koniec tego rodzaju warto wspomnieć o wykryciu przez ekspertów z Kaspersky Lab programu partnerskiego rozprzestrzeniającego szkodliwe oprogramowanie za pośrednictwem kodu QR.

Kod QR to zasadniczo kod kreskowy, który w porównaniu z nim może pomieścić więcej danych. Tego rodzaju kody są powszechnie wykorzystywane do przesyłania informacji do urządzeń mobilnych. Użytkownik musi tylko przeskanować obraz przy pomocy wbudowanego do urządzenia aparatu, a zawarte w kodzie dane pojawią się w urządzeniu w łatwej do odczytania postaci. Wiele osób wykorzystuje swoje komputery osobiste, aby znaleźć i zainstalować oprogramowania na swoim urządzeniu mobilnym. Dlatego aby użytkownicy nie musieli wprowadzać adres URL oprogramowania na urządzeniu mobilnym, wiele stron oferuje odsyłacze zakodowane w kodach QR, które mogą być przeskanowane przy pomocy smartfonu.

Cyberprzestępcy wykorzystali tę technikę do rozprzestrzeniania trojanów SMS pod przykrywką oprogramowania dla Androida poprzez zaszyfrowanie szkodliwych odsyłaczy w kodach QR. Po przeskanowaniu takich kodów QR urządzenia przenośne automatycznie pobierają szkodliwy plik APK (plik instalacyjny dla systemu Androida), który po zainstalowaniu na urządzeniu robi to samo co trojany SMS: wysyła wiadomości SMS na numery o podwyższonej płatności. Eksperci z Kaspersky Lab znaleźli kilka stron internetowych wykorzystujących kody QR do rozprzestrzeniania szkodliwego oprogramowania.

Jeżeli chodzi o cyberprzestępców wykorzystujących technologię kodów QR, istnieje wiele możliwości. Na razie jednak cyberprzestępcy testują ten koncept. Podmiana kodów QR w reklamach i różnych plakatach, zarówno online jak i offline, stwarza o wiele większe zagrożenie. Na szczęście rozwiązania bezpieczeństwa tworzone dla urządzeń mobilnych już teraz zapewniają ochronę przed tym zagrożeniem.

Ataki na największe na świecie korporacje

Chociaż w świetle niektórych głośnych ataków ukierunkowanych należało spodziewać się wzrostu poziomu bezpieczeństwa w firmach, nadal rośnie liczba incydentów, których ofiarą padają największe korporacje. W trzecim kwartale 2011 r. miały miejsce ataki zorganizowane przez grupę Anonymous, jak również ataki przeprowadzone przez nieznanych hakerów atakujących sieci korporacyjne.

Grupa haktywistów Anonymous wykazała największą aktywność w lipcu i sierpniu mimo aresztowania kilku jej członków. Wśród jej celów znalazła się włoska cyberpolicja, kilka jednostek policji w Stanach Zjednoczonych oraz Booz Allen Hamilton - firma, która wśród swoich klientów posiada między innymi amerykański rząd. Ofiary haktywistów obejmowały również system szybkiej kolei miejskiej obsługujący San Francisco Bay (BART), firmę Monsanto (branża rolnicza) oraz Vanguard Defense (przemysł obronny) . W wyniku tych ataków hakerzy uzyskali dostęp do danych pracowników i klientów tych firm, dokumentacji wewnętrznej, korespondencji i poufnych danych, które członkowie grupy Anonymous udostępnili publicznie, publikując je na stronie pastebin.com oraz trackerach torrentów.

We wrześniu Anonymous wolał brać udział w cywilnej akcji protestacyjnej niż włamywać się do sieci korporacyjnych. Wygląda na to, że aresztowanie kilkudziesięciu szkodliwych użytkowników biorących udział w atakach przeprowadzanych przez grupę Anonymous dało trochę do myślenia tym, którzy rozważali przyłączenie się do niej. W efekcie nowi rekruci wybierają mniej ryzykowne formy protestu, które w większości państw są legalne. Biorąc jednak pod uwagę fakt, że grupa ta jest całkowicie zdecentralizowana, można bezpiecznie zakładać, że jej „hakerski odłam” będzie kontynuował ataki.

Podczas gdy Anonymous dąży do rozgłosu, niektóre ataki z założenia mają pozostać ukryte. Przykładem może być tu atak na systemy komputerowe producenta sprzętu wojskowego - Mitsubishi Heavy Industries. Scenariusz ataku był praktycznie taki sam jak scenariusz włamania się do sieci RSA, które miało miejsce w marcu 2011 r. Pracownicy zaatakowanej firmy otrzymali e-maile ze szkodliwymi załącznikami. Tym razem był to plik PDF zawierający exploita, a nie plik Excela. Po uruchomieniu exploita na komputerze został załadowany szkodliwy program, który dawał cyberprzestępcom pełną kontrolę nad systemem ofiary. Następnie hakerzy musieli tylko znaleźć poszukiwane dane na serwerach korporacyjnych i wysłać je do własnych serwerów.

Według najnowszych dostępnych danych, zainfekowane zostały komputery w kilku fabrykach produkujących pociski rakietowe, jednostki podwodne oraz okręty wojskowe. Szkodliwe oprogramowanie zostało również wykryte na komputerach obsługujących centralę Mitsubishi Heavy Industries. Hakerzy najwyraźniej zdołali uzyskać dostęp do poufnych dokumentów, ale w przeciwieństwie do incydentu, którego ofiarą padł RSA, nie ustalono jeszcze, jakie informacje wpadły w ich ręce. Nie wiadomo też, kto przeprowadził ten atak. Zwykli cyberprzestępcy, których głównym celem są łatwe zyski, nie są zainteresowani przeprowadzaniem tego rodzaju ataków.

Geografia: strefy domen

Rejestracja nazw domen wiąże się z kosztami ponoszonymi przez spamerów, phisherów, dystrybutorów fałszywego oprogramowania antywirusowego oraz innych cyberoszustów. Nic zatem dziwnego, że próbują oni zminimalizować swoje nakłady finansowe i preferują zhakowane domeny lub strefy domen, na których za kilka dolarów albo zupełnie bezpłatnie można zarejestrować tysiące nazw domen.

W trzecim kwartale 2011 r. odnotowaliśmy kilka zdarzeń, które miały wpływ na rozkład szkodliwej zawartości w różnych strefach domen. Na przykład, 12 czerwca Google usunął z wyników wyszukiwania w swojej wyszukiwarce domeny zarejestrowane w strefie co.cc. Należy zauważyć, że domeny co.cc były wykorzystane między innymi przez cyberprzestępców, którzy zwabiali użytkowników na szkodliwe strony poprzez “zmylenie” wyszukiwarek. Posunięcie to spowodowało, że szkodliwi użytkownicy zwrócili się w stronę innych stref domen. W efekcie domena co.cc spadła z 6 lokaty w rankingu stref szkodliwych domen na 15 miejsce.

Liczba zablokowanych ataków sieciowych przeprowadzonych ze stron w różnych strefach domen w drugim i trzecim kwartale 2011 r.

Strefa domen Liczba zablokowanych prób odwiedzenia szkodliwego zasobu w danej strefie domen
Pozycja   Q2 2011 Q3 2011
1 com 109 075 004 103 275 409
2 ru 29 584 926 40 253 770
3 net 19 215 209 17 000 212
4 info 11 665 343 8 021 383
5 org 9 267 493 7 833 540
6 co.cc 6 310 221 6 383 968
7 in 5 764 261 3 167 385
8 tv 3 369 961 2 923 103
9 cz.cc 3 289 982 2 330 531
10 cc 2 721 693 1 200 413

Drastyczne działania w postaci usuwanie całych stref domen z wyników wyszukiwania są skuteczne, jednak jak na razie ich efekt okazał się krótkotrwały. W Sieci istnieją dziesiątki stref domen podobnych do co.cc, w których rejestrowanie nazw domen jest albo bezpłatne, albo bardzo tanie. To właśnie do takich stref domen - bz.cm, ae.am,gv.vg – cyberprzestępcy przenieśli swoje szkodliwe strony internetowe.

Statystyki

Poniżej zamieszczamy przegląd statystyk wygenerowanych przez różne moduły antywirusowe wchodzące w skład produktów firmy Kaspersky Lab. Wszystkie statystyki wykorzystane w tym raporcie zostały uzyskane z pomocą uczestników sieci Kaspersky Security Network (KSN). Globalna wymiana informacji dotyczących aktywności szkodliwego oprogramowania obejmuje miliony użytkowników produktów Kaspersky Lab z 213 krajów na całym świecie.

Zagrożenia online

Dane statystyczne przytoczone w tej sekcji zostały wygenerowane przez moduł Ochrona WWW wchodzący w skład produktów firmy Kaspersky Lab, który chroni użytkowników przed pobieraniem szkodliwego kodu z zainfekowanych stron internetowych. Zainfekowane strony obejmują zarówno takie, które zostały specjalnie stworzone przez cyberprzestępców, strony zawierające treści tworzone przez użytkowników, takie jak fora online, oraz inne legalne strony internetowe, które padły ofiarą włamań.

Zagrożenia wykryte w Internecie

W trzecim kwartale 2011 r. na całym świecie zostało zablokowanych w sumie 22 116 594 ataków przeprowadzonych z zasobów internetowych, z których 107 413 stanowiło unikatowe modyfikacje szkodliwych i potencjalnie niechcianych programów.

20 szkodliwych programów najczęściej wykrywanych w Internecie

Miejsce Nazwa* Odsetek wszystkich ataków**
1 Malicious URL 75,52%
2 Trojan.Script.Iframer 2,44%
3 Trojan.Script.Generic 1,68%
4 Exploit.Script.Generic 1,37%
5 Trojan.Win32.Generic 1,04%
6 AdWare.Win32.Eorezo.heur 0,75%
7 Trojan-Downloader.Script.Generic 0,75%
8 Trojan.JS.Popupper.aw 0,55%
9 AdWare.Win32.Shopper.ee 0,43%
10 AdWare.Win32.FunWeb.kd 0,38%
11 WebToolbar.Win32.MyWebSearch.gen 0,33%
12 Trojan-Downloader.JS.Agent.gay 0.25%
13 Trojan.JS.Iframe.tm 0,23%
14 Trojan-Downloader.Win32.Generic 0,22%
15 AdWare.Win32.FunWeb.jp 0,21%
16 Trojan.HTML.Iframe.dl 0,2%
17 Trojan.JS.Iframe.ry 0,18%
18 Trojan.VBS.StartPage.hl 0,17%
19 AdWare.Win32.Shopper.ds 0,15%
20 Trojan-Downloader.JS.Agent.fzn 0,15%

* Werdykty o wykryciu szkodliwego oprogramowania wygenerowane przez moduł ochrony WWW. Dane te są dostarczane przez użytkowników produktów Kaspersky Lab, którzy zgodzili się udostępnić swoje lokalne dane statystyczne.
** Odsetek wszystkich ataków sieciowych wykrytych na komputerach unikatowych użytkowników.

Na pierwszym miejscu znalazły się różne szkodliwe adresy URL („malicious URL” wcześniej wykrywane pod nazwą „Blocked”), które znajdują się na czarnej liście Kaspersky Lab. Ogólny udział ataków sieciowych zwiększył się o 15 punktów procentowych i wynosił trzy czwarte wszystkich zagrożeń zablokowanych podczas aktywności w Internecie.

Jedną czwartą pozycji w rankingu Top20 stanowi oprogramowanie adware, czyli programy wyświetlające reklamy, które robią wszystko, co się da, aby dostać się na komputery użytkowników. Programy te mają jeden prosty cel: po tym, jak zostaną zainstalowane na komputerze – zwykle pod przykrywką dodatku dla przeglądarki – wyświetlają użytkownikowi komunikaty reklamowe.

Jedenaście zagrożeń z rankingu Top20 dla trzeciego kwartału wykorzystuje luki w zabezpieczeniach oprogramowania, a ich celem jest dostarczenie szkodliwych zagrożeń na komputery użytkowników.

Ponad 75% wszystkich zablokowanych zagrożeń online to szkodliwe adresy URL (strony internetowe zainfekowane pakietami exploitów, botami, trojanami żądającymi okupu itd.). Użytkownicy mogą trafić na zainfekowane strony na dwa sposoby. Po pierwsze, mogą zostać na nie ukradkowo przekierowani z innych stron, łącznie z legalnymi stronami, które padły ofiarą włamania z wykorzystaniem skryptów ataków drive-by. Po drugie, sami mogą kliknąć niebezpieczne odsyłacze. Cyberprzestępcy umieszczają je w wiadomościach e-mail oraz na stronach portali społecznościowych, dodają do podejrzanych lub zhakowanych stron lub zaszywają w wyszukiwarkach przy użyciu metod czarnego SEO.

Stworzyliśmy rankingi wskazujące zasoby sieciowe, które w trzecim kwartale 2011 r. najczęściej próbowały przekierowywać użytkowników KSN na szkodliwe strony. Szkodliwe odsyłacze zostały zablokowane przez produkty firmy Kaspersky Lab.

3 zasoby internetowe, które najczęściej zawierały przekierowania do szkodliwych odsyłaczy w trzecim kwartale 2011

Nazwa strony Typ strony Średnia liczba prób przekierowania dziennie
Facebook Największy portal społecznościowy na świecie 96 000
Google Największa na świecie wyszukiwarka 30 000
Yandex Największa wyszukiwarka w rosyjskojęzycznym Internecie 24 000

Głównym źródłem “celowych” przekierowań do niebezpiecznych stron internetowych jest Facebook. Komputery użytkowników należące do sieci KSN blokują prawie 100 000 prób przekierowań dziennie z tego portalu społecznościowego. Twórcy wirusów stosują wszelkiego rodzaju triki socjotechniczne, aby nakłonić użytkowników do kliknięcia swoich odsyłaczy. Aby zwabić ofiary w swoje pułapki, wykorzystują w szczególności „gorące” tematy. W tym kwartale najpopularniejsze oferty obejmowały skandaliczne zdjęcia hollywódzkich gwiazd oraz rzekomą szansę wygrania iPhone’a 5.

Drugie i trzecie miejsce zajął odpowiednio Google i Yandex. Niestety, również wyszukiwarki mogą stanowić zagrożenie. Szkodliwi użytkownicy aktywnie stosują taktyki czarnego SEO, aby wymusić na wyszukiwarkach umieszczenie szkodliwych odsyłaczy wśród pierwszych wyników wyszukiwania.

Państwa hostujące szkodliwe oprogramowanie

Lokalizacja geograficzna każdego źródła ataku została określona poprzez porównanie nazwy domeny z rzeczywistym adresem IP domeny oraz identyfikację geograficznej lokalizacji adresu IP (GEOIP).

88% zasobów online wykorzystywanych do rozprzestrzeniania szkodliwych programów w trzecim kwartale 2011 r. znajdowało się w zaledwie 10 krajach.

 
Rozkład państw z zasobami sieciowymi hostującymi szkodliwe oprogramowanie w trzecim kwartale 2011 r. według państwa.

W porównaniu z poprzednim kwartałem ranking 10 państw hostujących najwięcej szkodliwego oprogramowania w trzecim kwartale 2011 r. zawiera tylko jedną zmianę. Rumunia awansowała na 10 miejsce, spychając Szwecję (1,3%) o dwie pozycje. Pierwsza trójka pozostała bez zmian, jednak niektóre państwa z pierwszej dziesiątki zamieniły się miejscami. W ciągu minionych trzech miesięcy zwiększył się odsetek serwisów hostingowych zawierających szkodliwe programy zlokalizowanych w Niemczech (+4,9 proc.) i na Wyspach Dziewiczych (+2,8 proc.), zmniejszył się z kolei udział takich serwisów w Wielkiej Brytanii (-1,7 proc.), Kanadzie (-1,5 proc.) oraz na Ukrainie (-1,2 proc.).

Państwa wysokiego ryzyka

Aby ocenić poziom ryzyka infekcji online w różnych państwach, obliczyliśmy częstotliwość wykrywania szkodliwego oprogramowania zarejestrowaną na komputerach użytkowników w każdym państwie.

10 państw największego ryzyka

Pozycja Państwo* Odsetek unikatowych użytkowników**
1 Federacja Rosyjska 50,0%
2 Oman 47,5%
3 Armenia 45,4%
4 Białoruś 42,3%
5 Azerbejdżan 41,1%
6 Kazachstan 40,9%
7 Irak 40,3%
8 Tadżykistan 39,1%
9 Ukraina 39,1%
10 Sudan 38,1%

*Państwa, w których liczba użytkowników produktów Kaspersky Lab nie przekroczyła 10 000, nie zostały uwzględnione w kalkulacjach.
**Liczba indywidualnych komputerów użytkowników, które zostały zaatakowane za pośrednictwem Sieci jako odsetek całkowitej liczby użytkowników produktów Kaspersky Lab w danym kraju.

W tym kwartale pierwszą dziesiątkę opuściły Stany Zjednoczone (32%), Arabia Saudyjska (30,9%) oraz Kuwejt (28,8%). Ich miejsce zajął Tadżykistan i Kazachstan, w których liczba użytkowników Internetu szybko rośnie, jak również Ukraina.

Udział komputerów zaatakowanych w Stanach Zjednoczonych zmniejszył się o 8 punktów procentowych, co było spowodowane znacznie mniejszym rozpowszechnieniem fałszywych programów antywirusowych. Liczba takich oszukańczych programów wzrosła lawinowo w ostatnim kwartale, po czym w sierpniu powróciła do swojego zwykłego poziomu. Miało to wpływ na inne rozwinięte państwa, w których odsetek komputerów, które padły ofiarą ataków online, również zmniejszył się, takich jak Wielka Brytania (24%, o 10 punktów procentowych mniej) oraz Kanada (24,6%, o 8 punktów procentowych mniej).

 
Liczba ataków fałszywych programów antywirusowych dziennie, maj-wrzesień 2011 r.

Wszystkie te państwa można podzielić na kilka grup (warto zauważyć, że w tym kwartale do pierwszej dziesiątki weszły dwa nowe państwa: Libia (24,7%) oraz Nigeria (15%)).

  1. Państwa wysokiego ryzyka. Poziom ryzyka w tej grupie mieści się w przedziale 41- 60%. W tym kwartale znalazło się w niej 5 państw: Rosja (50%), Oman (47,5%), Armenia (45,5%), Białoruś (42,3%) oraz Azerbejdżan (41,1%).
  2. Państwa średniego ryzyka. trzecim kwartale tego roku w grupie tej znalazło się 79 państw, w tym Chiny (37,9%), Stany Zjednoczone (32%), Brazylia (28,4%), Hiszpania (22,4%) oraz Francja (22,1%).
  3. Państwa bezpiecznego surfowania. W ostatnim kwartale grupa ta składała się z 48 państw o poziomie ryzyka od 10% do 21%.

Rozkład grup ryzyka znacznie zmienił się od ostatniego kwartału.

Irak (-1,1 punktów procentowych), Sudan (-5,3 punktów procentowych) oraz Arabia Saudyjska (-11,7 punktów procentowych) przesunęły się z kategorii wysokiego ryzyka do kategorii średniego ryzyka.

Kategoria “bezpieczne surfowanie” obejmuje teraz 19 krajów, które w ostatnim kwartale znajdowały się w grupie średniego ryzyka. Razem z Nigerią – nowym państwem w naszym rankingu – liczba państw, w których można bezpiecznie surfować, zwiększyła się o 20. W grupie tej znalazła się także Polska z wynikiem 17,7%.

Państwa o najmniejszym odsetku użytkowników, którzy padli ofiarą ataków online, obejmowały: Danię (10,9%), Japonię (12,8%), Słowenię (13,2%), Luksemburg (14,5%), Tajwan (14,7%), Słowację (16%) oraz Szwajcarię (16,4%).


Ryzyko infekcji online w różnych państwach

Średnio 24,4% komputerów wszystkich użytkowników KSN – praktycznie jeden na cztery komputery na całym świecie – przynajmniej jeden raz padło ofiarą ataku online.

W porównaniu z poprzednim kwartałem średni odsetek zaatakowanych komputerów zmniejszył się o 3 punkty procentowe. Z drugiej strony liczba ataków online wzrosła o 8%, z 208 707 447 w drugim kwartale do 226 116 594 w trzecim kwartale. To oznacza, że źródła ataków stają się coraz bardziej niebezpieczne: za pośrednictwem każdej szkodliwej strony internetowej otwartej na komputerze użytkownika do systemu próbuje przeniknąć jednocześnie kilka szkodliwych programów.

Wspólne działania agencji ścigania i firm antywirusowych przynoszą efekty. Współpraca ta ma na celu przede wszystkim zmniejszenie liczby zainfekowanych komputerów. Ponadto, coraz więcej systemów operacyjnych staje się coraz bardziej bezpiecznych, a użytkownicy coraz częściej przechodzą na nowe systemy. Wszystko to sprawia, że szkodliwi użytkownicy próbują infekować komputery kilkoma szkodliwymi programami jednocześnie.

Zagrożenia lokalne

Ta sekcja raportu kwartalnego opiera się na zmienionej metodologii. Do statystyk pochodzących ze skanera „on-access” dodaliśmy dane pochodzące ze skanowania różnych dysków, łącznie ze skanerami na żądanie.

Zagrożenia wykryte na komputerach użytkowników

W trzecim kwartale tego roku rozwiązania firmy Kaspersky Lab z powodzeniem zablokowały 600 344 563 prób lokalnych infekcji na komputerach użytkowników należących do sieci KSN.

Podczas tych prób skanery użytkowników działające podczas uzyskiwania dostępu zarejestrowały 429 685 unikatowych modyfikacji szkodliwych i potencjalnie niechcianych programów.

20 najczęściej wykrywanych zagrożeń na komputerach użytkowników

Miejsce* Nazwa % indywidualnych użytkowników**
1 Trojan.Win32.Generic 17,7%
2 DangerousObject.Multi.Generic 17,4%
3 Net-Worm.Win32.Kido.ih 6,9%
4 Trojan.Win32.Starter.yy 5,8%
5 Virus.Win32.Sality.aa 5,5%
6 Net-Worm.Win32.Kido.ir 5,3%
7 Virus.Win32.Sality.bh 4,7%
8 Virus.Win32.Sality.ag 3,0%
9 HiddenObject.Multi.Generic 2,5%
10 Virus.Win32.Nimnul.a 2,4%
11 Worm.Win32.Generic 2,2%
12 Hoax.Win32.ArchSMS.heur 2,2%
13 Exploit.Java.CVE-2010-4452.a 1,7%
14 AdWare.Win32.FunWeb.kd 1,7%
15 Packed.Win32.Katusha.o 1,7%
16 Virus.Win32.Generic 1,6%
17 Packed.Win32.Krap.ar 1,6%
18 Backdoor.Win32.Spammy.gf 1,6%
19 Trojan-Downloader.Win32.FlyStudio.kx 1,6%
20 Worm.Win32.VBNA.b 1,6%

* Statystyki te zostały stworzone na podstawie werdyktów dotyczących wykrycia szkodliwego oprogramowania wygenerowanych przez moduły ochrony antywirusowej użytkowników produktów firmy Kaspersy Lab, którzy zgodzili się przesłać swoje dane statystyczne.
** Liczba indywidualnych użytkowników, na których komputerach moduł ochrony antywirusowej wykrył te obiekty, jako odsetek wszystkich użytkowników produktów firmy Kaspersky Lab, na komputerach których został wykryty szkodliwy program.

Pierwsze miejsce w rankingu zajął Trojan.Win32.Generic (17,7%).

Szkodliwe programy znajdujące się na drugim miejscu zostały wykryte przy użyciu technologii chmury. Technologie te wspomagają antywirusowe bazy danych: jeżeli nie istnieje sygnatura lub nie ma danych heurystycznych umożliwiających wykrywanie określonego szkodliwego oprogramowania, dane o tym zagrożeniu mogą być dostępne w zasobach firmy wykorzystujących technologie chmury. W takim przypadku zagrożenie przyjmuje nazwę DangerousObject.Multi.Generic (17,4%).

W tym kwartale połowę pozycji w rankingach stanowią samodzielnie rozprzestrzeniające się programy, tj. wirusy i robaki infekujące nośniki wymienne i/lub pliki wykonywalne. W tym kwartale w rankingu Top20 pojawiło się wiele aplikacji pomocniczych – takich jak pliki narzędziowe, które uruchamiają główne zagrożenia. Obejmują one między innymi trojana Trojan.Win32.Starteryy, który pojawia się na komputerze, po tym jak Virus.Win32.Nimnul wykona operacje mające na celu uruchomienie szkodników Backdoor.Win32.IRCNite.clf oraz Worm.Win32.Agent.adz.

Packed.Win32.Krap.ar, Packed.Win32.Katusha.o i Worm.Win32.VBNA.b to zasadniczo platformy służące do uruchomienia innych szkodliwych programów. Szkodliwi użytkownicy wykorzystują je głównie do uniemożliwiania wykrywania procesu dostarczania fałszywych programów antywirusowych.

Państwa o największym ryzyku lokalnej infekcji

Oszacowaliśmy odsetek zainfekowanych komputerów w krajach, w których sieć KSN posiada ponad 10 000 użytkowników, poprzez obliczenie liczby komputerów, które zablokowały lokalne próby ich zainfekowania.

10 krajów o największej liczbie zainfekowanych komputerów

Miejsce Państwo* % indywidualnych użytkowników**
1 Bangladesz 92,7
2 Sudan 87,5
3 Ruanda 74,8
4 Zjednoczona Republika Tanzanii 73,4
5 Angola 72,5
6 Nepal 72,2
7 Irak 72,0
8 Indie 70,9
9 Uganda 69,8
10 Afganistan 68,0

* Państwa posiadające mniej niż 10 000 użytkowników produktów Kaspersky Lab nie zostały uwzględnione w kalkulacjach
** Liczba indywidualnych użytkowników, na których komputerach zostały zablokowane lokalne zagrożenia jako odsetek wszystkich użytkowników produktów firmy Kaspersky Lab w tym kraju.

Zmiany w stosowanych metodach kalkulacji spowodowały tylko jedną zmianę w naszych rankingach: Ugandę zastąpiła Mongolia. Teraz statystyki odzwierciedlają wszystkie szkodliwe programy, zarówno na dysku twardym komputera jak i nośnikach wymiennych.

Wyraźnym liderem jest Bangladesz (92,7%), w którym nasze produkty wykryły i zablokowały szkodliwe programy na dziewięciu na każde dziesięć komputerów.

Nawiasem mówiąc, modyfikacje, jakie wprowadziliśmy do naszych metod, miały większy wpływ na wskaźniki dla krajów rozwijających się. W krajach rozwiniętych odsetek komputerów, na których zostały zablokowane lokalne zagrożenia, zmienił się nieznacznie.

Wzrost liczby atakowanych komputerów w krajach rozwijających się wiąże się głównie z dużą liczbą automatycznie uruchamiających się robaków w tych regionach. Twórcy wirusów lubią rozprzestrzeniać swoje szkodliwe programy za pośrednictwem takich robaków. Z kolei w krajach rozwiniętych cyberprzestępcy preferują inne metody infekowania komputerów, takie jak ataki drive-by.

Państwa, w których istnieją zainfekowane komputery, podzieliliśmy według różnych poziomów infekcji lokalnej:

  1. Maksymalny poziom lokalnych infekcji. Grupę tą tworzą państwa o poziomie infekcji przekraczającym 60%. Obejmuje ona kraje z Azji (Nepal, Indie, Wietnam, Mongolia itd.) oraz Afryki (Sudan, Angola, Nigeria i Kamerun).
  2. Wysoki poziom lokalnych infekcji. Grupa ta charakteryzuje się poziomem infekcji 41%-60% i obejmuje obecnie 55 państw na całym świecie, takich jak Egipt, Kazachstan, Rosja, Ekwador oraz Brazylia.
  3. Średni poziom infekcji. W grupie tej znajduje się obecnie 37 państw o poziomie infekcji wynoszącym od 21% do 41%, w tym Polska, Turcja, Meksyk, Izrael, Łotwa, Portugalia, Włochy, Stany Zjednoczone, Australia oraz Francja.
  4. Najniższy poziom infekcji: Grupa ta liczy 16 państw, z których 14 znajduje się w Europie (łącznie z Wielką Brytanią, Norwegią, Finlandią i Holandią) a dwa w Azji – Japonia i Hong Kong.


Ryzyko lokalnych infekcji na świecie

Pięć państw o najniższych współczynnikach lokalnej infekcji:

Miejsce Państwo % unikatowych użytkowników
1 Japonia 10%
2 Dania (+1) 10,7%
3 Szwajcaria (+2) 14,4%
4 Niemcy (-2) 15,4%
5 Szwecja (+2) 15,8%

Luki w zabezpieczeniach

W trzecim kwartale 2011 r. na komputerach użytkowników wykryto w sumie 28 060 517 podatnych na ataki programów i plików – średnio 12 różnych luk na każdym komputerze, na którym wykryto takie dziury. 10 najczęściej wykrywanych luk przedstawia tabela poniżej.


ID firmy Secunia - unikatowy numer luki Nazwa luki i odsyłacz do opisu Na co luka pozwala szkodliwym użytkownikom Odsetek użytkowników komputerów z daną luką Data publikacji Stopień zagrożenia
1 SA 44784 Sun Java JDK / JRE / SDK Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie dowolnego kodu z przywilejami lokalnego użytkownika
Ujawnienie poufnych informacji Manipulacja danymi DoS (DenialofService)
35,85% 08.06.2011 Highly Critical
2 SA 41340 Adobe Reader / Acrobat SING "uniqueName" Buffer Overflow Vulnerability Uzyskanie dostępu do systemu i dowolnego losowego kodu z przywilejami lokalnego użytkownika 28,98% 08.09.2010 Ekstremalnie krytyczna
3 SA 45583 Adobe Flash Player Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie dowolnego kodu z przywilejami lokalnego użytkownika
Ujawnienie poufnych informacji
26,83% 10.08.2011 Wysoce krytyczna
4 SA 44964 Adobe Flash Player Unspecified Memory Corruption Vulnerability Uzyskanie dostępu do systemu i wykonanie dowolnego kodu z przywilejami lokalnego użytkownika 20,91% 15.06.2011 Ekstremalnie krytyczna
5 SA 41917 Adobe Flash Player Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie dowolnego kodu z przywilejami lokalnego użytkownika
Ujawnienie poufnych informacji
Obejście systemu bezpieczeństwa
15,24% 28.10.2010 Ekstremalnie krytyczna
6 SA 23655 Microsoft XML Core Services Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie dowolnego kodu z przywilejami lokalnego użytkownika
DoS (Denial of Service) XSS
14,99% 13.07.2011 Wysoce krytyczna
7 SA 45516 Apple QuickTime Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie dowolnego kodu z przywilejami lokalnego użytkownika 14,93% 04.08.2011 Wysoce krytyczna
8 SA 45584 Adobe Shockwave Player Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie dowolnego kodu z przywilejami lokalnego użytkownika 11,00% 10.08.2011 Wysoce krytyczna
9 SA 46113 Adobe Flash Player Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie dowolnego kodu z przywilejami lokalnego użytkownika
XSS
Obejście systemu bezpieczeństwa
9,67% 22.09.2011 Wysoce krytyczna
10 SA 29407 WinRAR Multiple Unspecified Vulnerabilities Uzyskanie dostępu do systemu i wykonanie dowolnego kodu z przywilejami lokalnego użytkownika
DoS (Denial of Service)
9,56% 03.09.2009 Wysoce krytyczna

*** Odsetek wszystkich komputerów użytkowników, na których została wykryta co najmniej jedna luka

W przeciwieństwie do poprzedniego kwartału, ranking zawiera produkty nie dwóch, ale pięciu różnych firm. Jednak ponad połowa luk uwzględnionych w naszych rankingach znajduje się w produktach Adobe: Flash Player, Acrobat Reader oraz Shockwave Player. Wykryto dwie nowe luki w Apple Quicktime oraz Microsoft XML Core Services, co wyjaśnia ich powrót do pierwszej dziesiątki. W trzecim kwartale do rankingu wróciła również stosunkowo stara luka z 2009 r. w pakerze WinRAR.


Producenci produktów zawierających luki z rankingu Top10

Jak widać, każda luka pozwala szkodliwym użytkownikom przejąć pełną kontrolę nad systemem. Trzy luki umożliwiają również przeprowadzenie ataków DoS na maszynę, na której znajduje się podatna na ataki aplikacja. Ponadto, dwie luki pozwalają szkodliwym użytkownikom obejść system bezpieczeństwa, dwie zapewniają dostęp do krytycznych informacji systemowych, dwie umożliwiają przeprowadzanie ataków XSS, a jedna manipulację danymi.


Rozkład 10 najczęściej wykrywanych luk według rodzaju wpływu na system

Wnioski

Spośród nowych taktyk warto wspomnieć o pojawieniu się szkodliwego kodu, który infekuje BIOS komputera. Tego rodzaju infekcja umożliwia wykonanie szkodliwego kodu natychmiast po wciśnięciu przycisku „włącz” - i co ważniejsze, jeszcze przed uruchomieniem się systemu operacyjnego. Ponadto, technika ta pozwala na skuteczne ukrywanie szkodliwego kodu w systemie. Mimo to prawdopodobnie nie zyska popularności wśród szkodliwych użytkowników. Po pierwsze, stworzenie uniwersalnego kodu, który potrafi infekować wszystkie wersje BIOS-u, nie jest łatwym zadaniem. Po drugie, współczesne płyty główne wykorzystują EFI, nową specyfikację, która bardzo różni się od BIOS-u. Może okazać się, że cały wysiłek wkładany w rozwój technologii infekujących BIOS nie jest wart zachodu. Obserwujemy ewolucję technologii rootkitowej i z każdym etapem tego procesu szkodliwy kod atakuje na coraz wcześniejszych etapach procesu rozruchu systemu operacyjnego. Można bezpiecznie założyć, że kolejnym krokiem w tej ewolucji będzie infekcja menedżerów maszyn wirtualnych. To stanowiłoby jednak większe zagrożenie dla użytkowników korporacyjnych niż użytkowników indywidualnych, ponieważ technologie wirtualizacji są aktywnie wykorzystywane w dużych korporacjach. Ze względu na wzmożone zainteresowanie dużymi korporacjami wśród szkodliwymi użytkowników, możemy spodziewać się bardziej agresywnego wykorzystywania tej koncepcji w najbliższej przyszłości.

Można powiedzieć, że ataki ukierunkowane stanowią już stały punkt naszych raportów. W trzecim kwartale 2011 r. hakerzy wzięli na swój celownik japońskie i amerykańskie firmy pracujące nad kontraktami z zakresu obronności. Celem tych cyberoperacji jest kradzież tajnych dokumentów przy użyciu bardziej opłacalnych sposobów uzyskiwania tego typu informacji. Dlatego będziemy odnotowywali coraz więcej prób włamywania się do systemów firm, które mają styczność z poufnymi danymi.

Kaspersky Lab zaobserwował aktywną migrację mobilnego szkodliwego oprogramowania z platformy J2ME na system Android. Przez długi czas fragmentacja rynku mobilnych systemów operacyjnych stanowiła czynnik hamujący rozwój szkodliwych programów atakujących urządzenia mobilne, w końcu jednak szkodliwi użytkownicy dokonali wyboru i koncentrują swoje wysiłki na pisaniu programów dla Androida. Co to za programy? Obecnie, najbardziej lukratywne to te, które umożliwiają wysyłanie wiadomości tekstowych na numery o podwyższonej płatności oraz subskrybowanie płatnych usług. W minionym kwartale pojawił się trojan dla Androida, który został stworzony głównie w celu kradzieży kodów autoryzacyjnych dla transakcji bankowych. Jednak tego rodzaju trojany potrafią więcej. Dzisiejsze urządzenia mobilne umożliwiają komunikację i dostęp do różnych serwisów internetowych. Przewidujemy, że pojawią się nowe szkodliwe programy pozwalające uzyskiwać dostęp do kont na takich serwisach i kradzież danych.

Spośród metod wykorzystywanych w trzecim kwartale do generowania pieniędzy przy użyciu szkodliwych programów można wspomnieć o pojawieniu się trojanów atakujących system Bitcoin. W trzecim kwartale koncepcja ta została podchwycona przez właścicieli dużych botnetów i pojawiły się tysiące zainfekowanych maszyn z programami generującymi kryptowalutę, które wykorzystywały zasoby komputerów, aby produkować pieniądze dla szkodliwych użytkowników. Problem w tym, że system Bitcoin osadzony jest się na zaufaniu użytkowników i to zaufanie wpływa na wartość tej kryptowaluty, co oznacza, że utrata zaufania może doprowadzić do załamania się całego systemu. Incydenty dotyczące naruszenia bezpieczeństwa systemu Bitcoin oraz pojawienie się botnetów generujących pieniądze negatywnie wpłynęły na reputację całego systemu, powodując dewaluację tej wirtualnej waluty. Jej wartość zmniejszyła się ponad dwukrotnie, z 13 do 4,80 dolarów.

W trzecim kwartale badania ekspertów z Kaspersky Lab wykazały, że Facebook, największy na świecie portal społecznościowy, jest aktywnie wykorzystywany do przekierowywania użytkowników do szkodliwych stron. Według danych sieci KSN, każdego dnia za pośrednictwem Facebooka ma miejsce prawie 100 000 prób przekierowywania do szkodliwych stron. Szkodliwi użytkownicy wykorzystują do swoich celów zaufanie, na którym opierają się relacje na portalach społecznościowych.

Według danych sieci KSN z trzeciego kwartału 2011 r., liczba serwisów w internecie hostujących szkodliwe oprogramowanie zmniejszyła się o 12% . Jednocześnie liczba ataków na komputery podłączone do Internetu zwiększyła się o 8%, co sugeruje, że każde źródło szkodliwego oprogramowania stanowi teraz większe ryzyko. Jednak spadek liczby serwisów hostujących szkodliwe oprogramowanie ma charakter tymczasowy i w najbliższej przyszłości szkodliwi użytkownicy z pewnością odzyskają ten utracony obszar. Biorąc pod uwagę zbliżający się okres świąteczny – pracowity czas dla wszelkiego rodzaju cyberoszustów – można przewidywać wzrost liczby źródeł szkodliwych programów.

Źródło:
Kaspersky Lab