Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Destrukcyjne szkodliwe oprogramowanie – analiza pięciu Wiperów

Dodany 9 stycznia 2014, 10:23 CET
Tagi:

Każdego dnia Kaspersky Lab przetwarza ponad 300 000 nowych próbek szkodliwego oprogramowania. Ogromna większość tych szkodliwych plików to tzw.  crimeware – programy komputerowe stworzone w celu uzyskania korzyści finansowych i wykorzystywane przez cyberprzestępców do zarabiania pieniędzy. Spośród pozostałych, niewielka ilość powstaje wyłącznie do celów cyber-szpiegostwa i jest wykorzystywana przez szereg różnych zaawansowanych cyberprzestępców.  

Reszta stanowi jeszcze mniejszy odsetek całości i obejmuje rzadkie, nietypowe okazy. Wipery - wysoce destrukcyjne programy - należą do najrzadszych rodzajów szkodliwego oprogramowania, jednak ich wykorzystywanie wzrosło w ciągu ostatnich kilku lat.

Wcześniej szkodliwe oprogramowanie pisali w większości entuzjaści komputerowi, cyber-chuligani i dowcipnisie. Z tego względu destrukcyjne wirusy, lub trojany, były znacznie bardziej rozpowszechnione. Jednym z przykładów jest BadSectors, wirus komputerowy, który oznacza sektory dyskowe jako złe, nawet jeśli takie nie są, powodując subtelne uszkadzanie danych. Innym przykładem był OneHalf, wirus komputerowy, który szyfruje dysk twardy cylinder po cylindrze, deszyfrując go w locie, gdy jest aktywny. Gdyby ktoś chciał usunąć tego wirusa, dane na dysku pozostałyby w formie zaszyfrowanej, z ich odszyfrowanie nie byłoby łatwe.             

Być może najbardziej znanym przykładem jest CIH, znany również jako Chernobyl. CIH, którego nazwa powstała z inicjałów jego autora, Chen Ing-hau, był wirusem komputerowym, który potrafił wyczyścić pamięć BIOS. Komputery zainfekowane wirusem CIH nie były w stanie uruchomić się. Nie stanowiło to dużego problemu w przypadku komputerów PC, które posiadały pamięć BIOS w postaci wymiennego chipu, który mógł zostać przeprogramowany na innym systemie;    jednak w przypadku właścicieli laptopów, wirus CIH był dość destrukcyjny.

W ciągu ostatnich kilku lat miało miejsce wiele poważnych incydentów z udziałem destrukcyjnego szkodliwego oprogramowania. Postanowiliśmy przedstawić krótkie podsumowanie najważniejszych incydentów dotyczących Wipera:

1. The “Wiper”

Na przełomie lat 2011/2012 pojawiły się doniesienia o włamaniach do systemów komputerowych, w efekcie których nie dało się ich już uruchomić. Zakres szkód w tych systemach był tak duży, że nie można było odzyskać niemal żadnych danych. Niektóre artefakty z wyczyszczonych systemów wskazywały na możliwy związek pomiędzy Stuxnetem a Duqu; nigdy jednak go nie udowodniono. Szkodnik odpowiedzialny za te ataki otrzymał nazwę „Wiper".          

Wiper wydaje się wykorzystywać dwie metody atakowania systemów. Pliki o niektórych „gorących” rozszerzeniach były wypełniane śmieciami, w efekcie czego cały dysk twardy komputera wypełniał się śmieciami. Chociaż nie wiadomo, jak było to możliwe bez spowodowania awarii systemów operacyjnych, wśród potencjalnych rozwiązań można wymienić sterowniki urządzeń ładowane przy uruchomieniu lub po prostu szkodliwy bootkit.      

Nasze badanie Wipera doprowadziło do wykrycia Flame’a; który, jak obecnie sądzimy, stanowi niepowiązane szkodliwe oprogramowanie. Według naszej wiedzy, Wiper pozostaje tajemnicą do dziś.    

2. Shamoon the Wiper

W sierpniu 2012 r. na wielu komputerach w firmie Saudi Aramco (30 000) zostały usunięte dane, a samych komputerów nie można było uruchomić.  

W tym przypadku zidentyfikowano i odzyskano szkodliwe oprogramowanie odpowiedzialne za ataki. Shamoon wykorzystywał prostą i prymitywną metodę, która okazała się skuteczna. Chociaż odpowiedzialność za atak Shamoona przyjęli hakerzy z grupy o nazwie „Cutting Sword of Justice”, szczegóły pozostają niejasne.    

Po ataku na Saudi Aramco wykryto podobny atak na firmę Rasgas w Katarze.

Niektóre doniesienia medialne wskazywały, że za tymi atakami mogli stać irańscy hakerzy. Jeden zapomniany artefakt w szkodniku „Shamoon for Arabian Gulf” wydaje się wskazywać na inną możliwość; irańscy programiści najprawdopodobniej użyliby określenia „Persian Gulf”. (sprawdź w Wikipedii)     

3. Narilam

Narilam został po raz pierwszy wspomniany przez firmę Symantec w listopadzie 2012 r.  

Narilam to interesujący szkodnik; infekuje bazy danych bardzo konkretnych programów komputerowych wykorzystywanych głównie w Iranie. Szkody, jakie wywołuje, są subtelne i trudne do zauważenia. Jeżeli jednak pozwolimy temu szkodnikowi działać przez wiele lat w systemie komputerowym, skutki mogą okazać się dewastujące, jako że modyfikacji nie można łatwo zidentyfikować. W przeciwieństwie do Wipera Narilam działa powoli, a jego celem jest długotrwały sabotaż. Zidentyfikowaliśmy wiele różnych wersji Narilama, a niektóre z nich były aktywne od 2008 r.

4. Groovemonitor / Maya

O tym szkodliwym oprogramowaniu poinformował po raz pierwszy w 2012 r. irański Maher CERT. Stosunkowo prosty, szkodnik ten był raczej prymitywny w swoich działaniach. Groovemonitor uaktywnia się w określone dni, które są zdefiniowane na sztywno w jego ciele, od 10 grudnia 2012 r. do 4 lutego 2015 r. W te dni szkodnik po prostu usuwa wszystkie pliki na dyskach od “d:” do “i:”.    

5. Dark Seoul:

Dark Seoul, jak wskazuje nazwa, był wykorzystywany w skoordynowanym ataku na kilka banków i firm z branży mediów w Seulu i Korei Południowej. Ataki zgłoszono w maju 2013 r., jednak odpowiedzialna za nie grupa była aktywna znacznie dłużej, być może już nawet w 2009 roku.   

Wnioski

Jak wynika z powyższej listy, większość ataków w stylu Wipera w ciągu minionych kilku lat zostało przeprowadzonych na Bliskim Wschodzie. Jednak incydenty te pokazują, że tego rodzaju szkodliwe oprogramowanie może być niezwykle skutecznym rodzajem cyberbroni. Możliwość usunięcia danych z dziesiątek tysięcy komputerów za pomocą jednego przycisku lub kliknięcia myszką to potężna broń w przypadku każdej cyberarmii. Cios może być bym bardziej dotkliwy, jeżeli zostanie połączony z atakiem kinetycznym w realnym świecie w celu sparaliżowania infrastruktury danego państwa.   

Podsumowując, ataki w stylu Wipera stanowią rzadkość w dzisiejszych czasach, ponieważ głównym celem szkodliwego oprogramowania są zyski finansowe. Niebezpieczeństwo stanowi połączenie ataków w stylu Wipera z faktem, że każdego dnia wykrywanych jest coraz więcej krytycznych luk w infrastrukturze,

Szacujemy, że ataki w stylu Wipera nadal będą przeprowadzane, a w przyszłości mogą stać się jeszcze popularniejsze jako sposób uderzania w krytyczną infrastrukturę w określonym czasie w celu spowodowania szerokich szkód.