Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Zagrożenia lutego 2012 wg Kaspersky Lab


Siergiej Golowanow, ekspert z Kaspersky Lab
Aleksander Gostiew, ekspert z Kaspersky Lab
Denis Maslennikow, ekspert z Kaspersky Lab
Yurij Namiestnikow, ekspert z Kaspersky Lab
Dmitrij Tarakanov, ekspert z Kaspersky Lab

malware_top_20.pngW lutym na podstawie danych zebranych z komputerów, na których działają produkty firmy Kaspersky Lab, stworzono następujące statystyki:

  • zablokowano 143 574 335 infekcji sieciowych;
  • wykryto i zneutralizowano 298 807 610 szkodliwych programów;
  • wykryto 30 036 004 szkodliwych adresów URL;
  • zablokowano 261 830 529 ataków sieciowych.


Najnowsze informacje na temat Duqu

Badania dotyczące szkodliwego programu Duqu zmieniły kierunek z proaktywnej na dogłębną analizę oraz podsumowanie zgromadzonych danych. W styczniu i lutym 2012 r. nasi eksperci skoncentrowali się na technicznych aspektach Duqu, takich jak jego systemy serwerowe służące do gromadzenia danych oraz wbudowane moduły trojana.

Od końca grudnia 2011 r. nie wykryliśmy już żadnych śladów Duqu w internecie. Jak dowiedzieliśmy się, w dniach 1-2 grudnia 2011 r. autorzy tego programu trojańskiego po raz kolejny wyczyścili swoje serwery na całym świecie. Próbowali naprawić błędy popełnione 20 października podczas swojego pierwszego czyszczenia serwera.

Dzięki temu możemy poznać tymczasowe skutki ostatniego ataku.

Kaspersky Lab odnotował ponad tuzin incydentów Duqu, przy czym przeważająca większość ofiar znajdowała się w Iranie. Analiza zaatakowanych organizacji oraz rodzaju danych, którymi są zainteresowani autorzy Duqu, pozwala sądzić, że osoby odpowiedzialne za te ataki szukały głównie informacji o systemach zarządzania produkcją w różnych sektorach przemysłu w Iranie, jak również informacji o związkach handlowych między kilkoma irańskimi organizacjami.

Na podstawie analizy kodu Duqu eksperci z Kaspersky Lab doszli do wniosku, że oprócz wykorzystania pewnego typu standardowej platformy (o nazwie Tilded) autorzy Duqu najprawdopodobniej zastosowali własny szkielet rozwinięty w nieznanym języku programowania. Napisaliśmy o tym w specjalnym poście na blogu.

W oparciu o zebrane przez nas dane można założyć, że twórcy platformy Tilded będą najprawdopodobniej kontynuowali swoją pracę i w przyszłości (prawdopodobnie bardzo bliskiej) będziemy mieli do czynienia z efektami ich pracy.

Ataki na użytkowników indywidualnych

Luki w systemie płatności Google Wallet

Jesienią 2011 roku Google uruchomił Google Wallet, system płatności elektronicznych, który pozwala użytkownikom płacić za towary i usługi przy użyciu telefonów działających pod kontrolą Androida z komunikacją bliskiego zasięgu (ang. Near Field Communication). Aplikacja Google Wallet jest instalowana na smartfonie, a użytkownik określa, jaka karta kredytowa będzie wykorzystywana. W celu przetworzenia płatności właściciel telefonu musi wprowadzić kod PIN do aplikacji Google Wallet oraz umieścić telefon w pobliżu urządzenia skanującego. Następnie telefon prześle zaszyfrowane dane, aby zakończyć transakcję.

Gdy Google ogłosił wprowadzenie tej nowej usługi, eksperci ds. bezpieczeństwa danych wyrazili obawy odnośnie bezpieczeństwa w razie gdyby telefon został zgubiony lub skradziony lub w inny sposób wpadł w cudze ręce. Następnie, na początku lutego, wykryto dwie metody włamania się do aplikacji Google Wallet.

Najpierw Joshua Rubin, inżynier z firmy zVelo, wykrył, w jaki sposób można wybrać PIN, gdyby pewna osoba uzyskała dostęp do telefonu. Dane dotyczące konta bankowego są przechowywane w specjalnej, zabezpieczonej sekcji (Secure Element) czipa NFC, ale hash kodu PIN jest przechowywany w systemie plików telefonu. Do odczytania hasha niezbędny jest dostęp na poziomie root, który można uzyskać przy użyciu dobrze znanych taktyk hakerskich. Ponieważ kody PIN posiadają jedynie cztery cyfry, szkodliwi użytkownicy nie muszą tracić wiele czasu na wypróbowywanie kombinacji w celu trafienia na właściwą sekwencję. Po ustaleniu kodu PIN szkodliwy użytkownik może zakupić produkty przy użyciu konta Google Wallet właściciela telefonu.

Zaledwie jeden dzień po wykryciu tej luki pojawiły się nowe informacje o innej metodzie uzyskania dostępu do czyjegoś konta Google Wallet na znalezionym lub skradzionym telefonie – nawet bez konieczności włamania się do systemu lub uzyskania dostępu na poziomie root. Tym razem została wykorzystana luka w samej aplikacji Google Wallet. Jeżeli ktoś użyje menu właściwości aplikacji i usunie wszystkie dane dotyczące aplikacji Google Wallet, przy następnym uruchomieniu aplikacja poprosi użytkownika o wprowadzenie nowego kodu PIN bez konieczności wprowadzenia poprzedniego PIN-u.

Luki te zostały natychmiast zgłoszone firmie Google, która zawiesiła operacje Google Wallet na kilka dni w celu usunięcia problemów. Później Google ogłosił, że luki w zabezpieczeniach aplikacji zostały usunięte, a usługa uaktualniona. Jednak, 1 marca nadal nie pojawiły się żadne wiadomości o jakichkolwiek rozwiązaniach dla luki wykorzystującej skanowanie w celu ustalenia poprawnego PIN-u. W celu uniemożliwienia dostępu do hashu kodu PIN należy go przechowywać w Secure Element, podobnie jak inne krytyczne dane dotyczące konta bankowego oraz karty kredytowej. Jednak w tym przypadku to banki byłyby odpowiedzialne za bezpieczeństwo kodów PIN w obrębie Secure Element, a nie Google.

Fałszywy kod Google Analytics przekierowuje użytkowników do zestawu do tworzenia exploitów BlackHole

Szkodliwi użytkownicy często włamują się na strony internetowe w celu umieszczania w nich szkodliwych programów – szkodliwy kod jest umieszczany w kodzie zhakowanego zasobu. Aby właściciele zhakowanych stron nie zauważyli niczego podejrzanego, stosowane są wszelkiego rodzaju techniki. Na początku lutego Kaspersky Lab zaobserwował falę infekcji obejmujących zaszczepianie szkodliwego kodu pod przykrywką kodu Google Analytics.

Fałszywy kod posiadał kilka charakterystycznych cech:

  1. W szkodliwym kodzie, w przeciwieństwie do prawdziwego adresu, stosowany jest podwójny myślnik (tj. google--analytics.com zamiast google-analytics.com)
  2. W rzeczywistym kodzie Google ID konta stanowi unikatowy ciąg zawierający liczby (np. UA-5902056-8) i służy jako unikatowy kod identyfikacyjny strony internetowej. Szkodliwy kod wykorzystuje zamiast tego ciąg “UA-XXXXX-X”.
  3. Kod zaszczepiony przez szkodliwych użytkowników jest umieszczany na samym początku kodu strony, nawet przed znacznikiem <html>, podczas gdy rzeczywisty kod Google Analytics jest zwykle zlokalizowany na końcu strony.

Jeżeli użytkownik wejdzie na stronę, w której zaszczepiono taki kod, szkodliwy adres google--analytics.com pobierze zaciemniony skrypt Java “ga.js”, a użytkownicy odwiedzający zhakowaną stronę zostaną kilkakrotnie przekierowani, aby następnie trafić na serwer hostujący BlackHole Exploit Kit. W przypadku pomyślnego uruchomienia exploita, komputer użytkownika zostanie zainfekowany szkodliwym oprogramowaniem.

Obecnie fałszywa strona google--analytics.com nie działa. Niektóre zhakowane strony internetowe nadal zawierają fałszywy kod Google Analytics, jest on jednak nieszkodliwy (przynajmniej na razie).

Zagrożenia mobilne

Ostatnie wydarzenia dotyczące zagrożeń mobilnych, występujące na całym świecie, pokazały, że w 2012 r. botnety mobilne staną się jednym z głównych problemów dla użytkowników smartfonów oraz firm antywirusowych.

Botnet mobilny RootSmart

W stosunkowo krótkim czasie chińscy twórcy wirusów zdołali stworzyć botnet infekując od 10 000 do 30 000 aktywnych urządzeń. Całkowita liczba urządzeń zainfekowanych od momentu pojawienia się botnetu wynosi już setki tysięcy. Zgodnie z systemem klasyfikacji Kaspersky Lab zagrożenie to należy do rodziny Backdoor.AndroidOS.RootSmart. Wszystkie urządzenia zainfekowane RootSmart potrafią zdalnie otrzymywać i wykonywać polecenia z serwera kontroli.

Tak wysoką liczbę zainfekowanych urządzeń można przyrównać do komputerów działających pod kontrolą systemu Windows OS. Wygląda na to, że luka między liczbą botnetów mobilnych a “konwencjonalnych” zmniejsza się, mimo że sposoby wykorzystywania ich do zarabiania pieniędzy są inne. O ile botnety oparte na komputerach zazwyczaj są wykorzystywane do przeprowadzania ataków DDoS i rozsyłania masowych wysyłek spamowych, taktyki te nie są tak skuteczne w przypadku botnetów mobilnych.

Szkodliwi użytkownicy kontrolujący botnet RootSmart zdecydowali się stosować SMS-y o podwyższonej opłacie – jest to konwencjonalna i najpopularniejsza wśród cyberprzestępców metoda szybkiego zarabiania pieniędzy na zainfekowanych urządzeniach mobilnych. Osoby kontrolujące botnet potrafią ustawić częstotliwość (jeden, dwa lub trzy SMS-y dziennie itd.) oraz okres wysyłania kosztownych wiadomości tekstowych, jak również krótkie numery, na które będą wysyłane te wiadomości. Ponieważ szkodliwi użytkownicy posiadają pełną kontrolę nad zainfekowanym urządzeniem, mogą robić, co im się żywnie podoba bez wzbudzania podejrzeń właściciela telefonu (np. wykorzystując najmniej kosztowne wiadomości tekstowe), oraz kontrolować przychody generowane przez botnet. W przeciwieństwie do trojanów SMS podejście to pozwala cyberprzestępcom wygenerować stały, znaczny przypływ gotówki w długim okresie.

Aresztowanie autorów backdoora Foncy

W styczniu 2012 wykryliśmy program o nazwie Backdoor.Linux.Foncy.a, który obecnie wydaje się być najbardziej uderzającym przykładem szkodliwego programu wykorzystywanego przez cyberprzestępców, aby zdalnie kontrolować zainfekowane urządzenie poprzez wysyłanie różnych poleceń.

Backdoor ten jest instalowany w systemie przy pomocy droppera APK z exploitem roota (Exploit.Linux.Lotoor.ac) oraz trojana SMS (Trojan-SMS.AndroidOS.Foncy.a). Czytelnicy być może przypominają sobie, że rodzina trojanów SMS Foncy została po raz pierwszy wykryta w listopadzie 2011 r.

Dobre wieści nadeszły pod koniec lutego: w Paryżu aresztowano dwie osoby podejrzane o zainfekowanie szkodnikiem Foncy ponad 2 000 urządzeń z Androidem. Jest to pierwszy przypadek aresztowania autorów mobilnego szkodliwego oprogramowania. Co więcej, minęły tylko trzy miesiące od pojawienia się publicznych informacji o Foncy. Mamy nadzieję, że sprawa ta znajdzie swoją logiczną konkluzję i wkrótce usłyszymy o wyroku dla tych twórców mobilnego szkodliwego oprogramowania. Władze szacują, że tacy szkodliwi użytkownicy spowodowali straty finansowe w wysokości 100 000 euro.

Ataki na sieci korporacyjne

Ataki haktywistów obserwowaliśmy przez cały luty: tym razem członkowie grupy Anonymous obrali sobie za cel zasoby sieciowe o charakterze finansowym i politycznym.

Haktywiści zaatakowali strony internetowe zlokalizowanych w Stanach Zjednoczonych firm Combined Systems Inc. (CSI) oraz Sur-Tec Inc. Firmy te zajmowały się dostawą do niektórych państw urządzeń monitorujących, wykorzystywanych do monitorowania obywateli, jak również gazu łzawiącego i innych narzędzi do tłumienia protestów. CIS został oskarżony o wysyłanie tych technologii do Egiptu w czasie odsuwania od władzy prezydenta Mubaraka. Wysyłki zostały również wyekspediowane do Izraela, Gwatemali i kilku innych państw. Hakerzy zdołali ukraść wewnętrzną korespondencję tej firmy, listę klientów oraz wiele dokumentów wewnętrznych – wszystkie te dane zostały następnie upublicznione na stronie pastebin.com.

Ponadto hakerzy włamali się do kilku stron należących do amerykańskiej Federacyjnej Komisji Handlu. Incydent ten był częścią protestu Anonymous przeciwko porozumieniu ACTA. Na zhakowanych stronach umieszczono film z protestem przeciwko przyjęciu ACTA. Haktywiści weszli również w posiadanie nazwy użytkowników i hasła użytkowników i opublikowali je na stronie pastebin.com.

Do wspomnianych wyżej ataków przyznała się grupa, która zorganizowała styczniowe ataki DDoS w ramach protestu przeciwko zamknięciu Megaupload.com. W tym czasie wyrządziła również szkody amerykańskiemu Departamentowi Sprawiedliwości, stronie Universal Music Group, Recording Industry Association of America oraz MPAA.

Kolejna grupa w szeregach Anonymous (LONGwave99) przeprowadziła ataki na instytucje finansowe w Stanach Zjednoczonych. 14-15 lutego grupa ta uruchomiła ataki DDoS, w wyniku których strony internetowe NASDAQ, BATS, Chicago Board Options Exchange (CBOE) oraz Miami Stock Exchange zostały odłączone od Sieci. Według przedstawicieli giełd, ataki te – znane pod kryptonimem “Operation Digital Tornado” – nie zakłóciły systemów handlowych.

Policja nadal prowadzi śledztwo w sprawie aktywności haktywisów. Pod koniec lutego wspólne działania Interpolu oraz organów ścigania w Argentynie, Zhili, Kolumbii oraz Hiszpanii doprowadziły do aresztowania 25 osób podejrzanych o udział w kilku atakach. W odpowiedzi Anonymous przeprowadził atak DDoS na stronę Interpolu, w wyniku którego przez kilka godzin pozostawała online.

Przed wyborami prezydenckimi w Rosji ataki DDoS oraz ataki hakerskie były stosowane jako narzędzia w kampanii politycznej. Celem umotywowanych politycznie ataków padły również strony internetowe mediów, grup opozycyjnych oraz agencji rządowych. Co istotne, w tej serii ataków Kaspersky Lab wykrył wykorzystanie kilku botnetów Ruskill, które cyklicznie się zastępowały. Łącznie wykryliśmy osiem serwerów kontroli zlokalizowanych w ośmiu krajach – każdy serwer wykorzystywał usługi innego dostawcy. Mimo tego, wszystkie te zasoby były kontrolowane przez tych samych ludzi.

W wielu przypadkach botnety zaangażowane w tzw. ataki polityczne były wcześniej wykorzystywane w czysto komercyjnych atakach DDoS na sklepy online, banki, specjalistyczne fora i blogi. Można zatem przypuszczać, że botnety te zostały po prostu wynajęte (najprawdopodobniej za opłatą) do przeprowadzenia ataków politycznych.

Statystyki dla lutego 2012

Poniższe statystyki zostały przygotowane na podstawie danych zgromadzonych w ramach sieci Kaspersky Security Network. Informacje są gromadzone na komputerach chronionych użytkowników, którzy zgodzili się na uczestnictwo w Kaspersky Security Network.

Top 10 zagrożeń w internecie

Nazwa % wszystkich ataków Zmiana w rankingu
1 Malicious URL 91,26% Bez zmian
2 Trojan.Script.Iframer 5,81% Bez zmian
3 Trojan.Script.Generic 2,15% Bez zmian
4 Trojan-Downloader.Script.Generic 0,95% +2
5 Trojan.Win32.Generic 0,47% -2
6 Trojan-Downloader.JS.Agent.gmr 0,43% Nowość
7 Trojan-Spy.JS.Agent.c 0,37% -2
8 Trojan-Downloader.Win32.Agent.gyai 0,35% +1
9 Trojan.JS.Redirector.ue 0,31% Nowość
10 Trojan.JS.Popupper.aw 0,30% -1

Top 10 krajów, w których zasoby internetowe zawierały szkodliwe programy

Kraj* % wszystkich ataków
1 Holandia 22,49%
2 USA 20,97%
3 Rosja 16,82%
4 Niemcy 10,09%
5 Ukraina 4,57%
6 Wielka Brytania 4,43%
7 Wyspy Dziewicze 1,89%
8 Francja 1,79%
9 Chiny 1,45%
10 Kanada 1,1%

* W celu określenia geograficznego źródła ataku nazwa domeny jest porównywana z adresem IP i określana jest pozycja geograficzna samego adresu IP (GEOIP).

Top 10 stref szkodliwych domen

Strefa domen Liczba ataków*
1 ru 48 523 586
2 com 46 111 931
3 info 15 454 153
4 net 10 140 453
5 org 5 326 917
6 in 4 724 839
7 pl 1 465 601
8 me 1 100 728
9 eu 704 525
10 biz 637 536

*Liczba ataków z zasobów internetowych (w zależności od domeny) wykrytych przez moduł ochrony WWW.

10 krajów, w których użytkownicy są najbardziej narażeni na infekcję przez internet

Kraj %* Zmiana w rankingu
1 Rosja 53,75% Bez zmian
2 Wybrzeże Kości Słoniowej 49,25% new
3 Armenia 45,47% -1
4 Kazachstan 44,99% +1
5 Białoruś 43,89% +1
6 Azerbejdżan 43,08% -2
7 Ukraina 41,93% Bez zmian
8 Mołdawia 38,16% +2
9 Bangladesz 35,70% new
10 Uzbekistan 35,37% -2

W zliczaniu wyników nie uwzględniono krajów, w których liczba użytkowników produktów Kaspersky Lab jest niewielka (mniej niż 10 000).

*Udział procentowy unikatowych użytkowników w danym kraju, u których produkty Kaspersky Lab zablokowały zagrożenia pochodzące z internetu.

10 krajów, w których użytkownicy są najmniej narażeni na infekcję przez internet

Kraj %* Zmiana w rankingu
1 Tajwan 8,22% 6
2 Japonia 8,23% 2
3 Benin 9,21% -2
4 Luksemburg 10,13% +2
5 Mozambik 10,15% +3
6 Hong Kong 10,35% Nowość
7 Macau 10,68% +2
8 Dania 11,01% -4
9 Nowa Zelandia 11,23% Nowość
10 Afryka Południowa 12,04% Nowość

W zliczaniu wyników nie uwzględniono krajów, w których liczba użytkowników produktów Kaspersky Lab jest niewielka (mniej niż 10 000).
*Udział procentowy unikatowych użytkowników w danym kraju, u których produkty Kaspersky Lab zablokowały zagrożenia pochodzące z internetu.

Źródło:
Kaspersky Lab