Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Raport: Ewolucja złośliwego oprogramowania: kwiecień - czerwiec 2005

Tagi:

Kaspersky Lab przedstawia raport kwartalny na temat ewolucji złośliwego oprogramowania przygotowany przez Alexandra Gosteva, analityka z laboratorium antywirusowego. W najnowszym raporcie zaprezentowano zmieniające się trendy ataków sieciowych, ewolucję programów adware, sposoby wykorzystania starych technologii do tworzenia nowych wirusów, pojawienie się cyber-szantażystów i wykorzystywanie złośliwego oprogramowania w celach politycznych.

  1. Zmieniające się trendy ataków sieciowych
  2. Ataki hakerów
  3. Adware
  4. Powrót technologii wirusowych
  5. Elektroniczni zakładnicy
  6. Polityka a wirusy
  7. Podsumowanie

Zmieniające się trendy ataków sieciowych

W ostatnich miesiącach miało miejsce kilka poważnych incydentów naruszenia bezpieczeństwa IT wyraźnie wskazujących na zmianę wektorów ataków hakerów. W wyniku działania cyber-przestępców ucierpiały główne instytucje finansowe, takie jak Bank of America, Sumitomo Bank, Master Card oraz Visa. Inne głośne wydarzenie z tego kwartału, incydent z trojanem Hotworld Trojan, dotyczyło wykrycia programu Trojan-Spy w sieciach ponad 80 organizacji zlokalizowanych w Izraelu i Wielkiej Brytanii.

Po przeanalizowaniu tych ataków oraz innych mniej nagłośnionych incydentów doszliśmy do następujących wniosków:

1. Cyber-przestępcy rezygnują z masowych ataków przeprowadzanych przy użyciu robaków sieciowych oraz rozsyłania koni trojańskich za pomocą technik spamowych.

Istnieje kilka przyczyn tego nowego podejścia: po pierwsze, przemysł antywirusowy posiada dziesięcioletnie doświadczenie w zwalczaniu robaków wywołujących globalne epidemie, zdołał więc rozwinąć skuteczne metody odpierania takich ataków. Obejmują one zarówno najprostsze techniki ochrony - wykrywanie ogromnej ilości kopii tego samego pliku w ruchu pocztowym, co jest pierwszą oznaką masowego rozsyłania złośliwego programu, jak i bardziej złożone, takie jak IDS (system wykrywania włamań) czy zapora ogniowa. Obecnie od momentu wykrycia pierwszej kopii robaka do zamieszczenia jego sygnatury w antywirusowych bazach danych, dzięki czemu możliwe jest wykrycie i zneutralizowanie szkodnika, mija niecała godzina. W rezultacie skuteczność takich ataków została znacznie zminimalizowana, a czasami nawet zredukowana do zera.

Przemysł antywirusowy już od dekady zajmuje się robakami, które wywołują globalne epidemie i wypracował skuteczne metody walki z takimi zagrożeniami.

Po drugie, robaki, które zdołają przedrzeć się przez wielowarstwową ochronę i zainfekować kilka tysięcy użytkowników, którzy nie zainstalowali na swoich komputerach programu antywirusowego, będą musiały zmierzyć się z niełatwym zadaniem: powielić się i, co jest szczególnie istotne dla cyber-przestępców, zebrać z zainfekowanych komputerów informacje, a także rozesłać je. Na podstawie analizy złośliwych programów specjaliści z branży antywirusowej potrafią zidentyfikować serwery, z których przesyłane są zbierane informacje, jak również ustalić kanały i metody kontrolowania zainfekowanych komputerów. Pozwala to na zamknięcie serwerów stanowiących źródło infekcji. Chociaż działania te nie muszą doprowadzić do aresztowania przestępców, to z pewnością uniemożliwią dostanie się w ich ręce pożądanych informacji.

Po trzecie, nawet jeśli przestępcom uda się przechwycić skradzione dane, muszą jeszcze wykorzystać te informacje do osiągnięcia korzyści finansowych. A nie jest to wcale takie proste i właśnie na tym etapie procesu ryzyko aresztowania znacznie wzrasta.

2. Przestępcy atakują teraz konkretne, duże cele.

Opisane wcześniej trudności skłaniają cyber-przestępców do wybierania innych celów i metod umożliwiających im uzyskanie dostępu do danych, które mogą zostać następnie wykorzystane lub sprzedane klientowi, który zlecił atak.

Czym kierują się przestępcy, którzy przeprowadzają ataki na specyficzne cele?

Po pierwsze, ataki dokonywane są w celu kradzieży poufnych informacji bankowych i osobistych - numerów kart kredytowych i ubezpieczenia oraz wszelkich innych danych osobowych posiadanych przez współczesnych użytkowników komputerów. Informacje te mogą następnie zostać wykorzystane do oszustw i szantaży: opróżniania kont bankowych, fałszowania dokumentów i kont bankowych itd. W grę wchodzi również szpiegostwo przemysłowe, które staje się coraz powszechniejsze. Informacje na temat działalności konkurencji (takie jak dane finansowe oraz dotyczące pracowników), które wcześniej zdobywano przy użyciu urządzeń podsłuchowych, magnetofonów i kamer, dostępne są teraz poprzez sieć komputerową organizacji.

3. Wybór celów i metod przenikania do systemów.

Na czym polega różnica między atakami na konkretne cele a kradzieżą haseł internetowych lub ICQ, które są następnie odsprzedawane za pięć dolarów?

Inną rzeczą jest zainfekowanie milionów komputerów na całym świecie i przechwycenie pięćdziesięciu tysięcy numerów kart kredytowych, inną natomiast kradzież miliona numerów kart kredytowych w wyniku zainfekowania tylko jednego komputera.

Analiza incydentu kradzieży danych z CardSystem Solutions, o którym powszechnie informowały media, ujawniła szczegóły, które nie tworzą spójnej całości.

Złośliwy program, który podobno został wykryty w sieci CardSystem Solutions, wciąż nie trafił do firm antywirusowych. Dla porównania, producenci oprogramowania antywirusowego dodali do swoich antywirusowych baz danych sygnaturę konia trojańskiego Hotworld Trojan już w ciągu dwóch dni od jego wykrycia.

Z pewnością trojan ten nie był keyloggerem (programem rejestrującym dane wprowadzane z klawiatury): jest wysoce nieprawdopodobne, żeby 40 milionów numerów kart kredytowych zostało wprowadzonych do systemu ręcznie przez klawiaturę zainfekowanego komputera.

Aby możliwe było uzyskanie dostępu do bazy danych, w której przechowywane były numery kart kredytowych, Trojan musiałby zostać specjalnie zaprogramowany dla bazy danych CardSystem Solutions.

Ciągle jeszcze nie ustalono, w jaki sposób informacje przedostały się poza sieć CardSystem Solutions.

Naturalnie sprawa jest wciąż badana. Szczegóły sprawy raczej nie zostaną podane do wiadomości opinii publicznej w najbliższej przyszłości. Nie ma również pewności co do słuszności mediów, które podają, że za tym atakiem stoją hakerzy z Rosji. Krążą informacje, że kilka rosyjskich stron WWW związanych z nielegalnym wykorzystywaniem numerów kart płatniczych oferuje sprzedaż niektórych ze skradzionych numerów. Nie jest jednak jasne, skąd media dokładnie znają skradzione numery kart kredytowych i wiedzą, że numery te zostały skradzione właśnie z CardSystem Solutions. Wystawione na sprzedaż numery mogły przecież pochodzić z innego źródła.

Tegoroczne głośne incydenty naruszenia bezpieczeństwa IT ukazują nowe oblicze cybernetycznej przestępczości. Najnowsze pokolenie cyber-przestępców gotowe jest wydać dziesiątki tysięcy dolarów, aby zdobyć informacje z wewnątrz o konkretnym celu ataku. Posiadają kontakty w samych organizacjach, dzięki czemu mogą omijać liczne systemy wykrywania włamań. Nie są to już dzieciaki sprzedające konie trojańskie za dziesięć dolarów, a już na pewno nie sprzedają skradzionych informacji poprzez powszechnie dostępne fora i strony (nawet działające w podziemiu).

Tegoroczne głośne incydenty naruszenia bezpieczeństwa IT ukazują nowe oblicze cybernetycznej przestępczości.

Coraz głośniej mówi się o podobnych atakach, ponieważ zdarzają się one coraz częściej. Im większa instytucja finansowa, tym bardziej jej sieć narażona jest na atak. Ogromna liczba komputerów, niejednorodne sieci z różnymi poziomami dostępu, duża liczba pracowników - wszystko to ułatwia opracowanie ataku przez zdalnego przestępcę. W niektórych dużych sieciach nie można znaleźć konkretnego dokumentu. O ile trudniej jest więc znaleźć konia trojańskiego celowo ukrytego w systemie.

Takie trojany są unikatowe, zaprojektowane z myślą o konkretnym celu. Oznacza to, że wykrywanie metodą heurystyczną jest prawie niemożliwe. Ponieważ istnieje tylko jedna kopia (w przeciwieństwie do robaków, które rozprzestrzeniają się w milionach), producenci oprogramowania antywirusowego mogą nigdy nie ujrzeć próbki szkodnika.

Podsumowując: zmieniają się wektory i cele ataków. Hakerzy odchodzą od atakowania użytkowników końcowych i wybierają jako swoje cele strony WWW i właścicieli witryn z informacjami cennymi dla przestępców cybernetycznych.

Ataki hakerów

Instalowaniem koni trojańskich w sieciach banków i organizacji rządowych zajmują się profesjonaliści. Oczywiście jest wiele szeregowych autorów wirusów, którzy tworzą i utrzymują botnety (sieci zainfekowanych komputerów) raczej na niższym poziomie. Pomimo nagłośnienia przypadków masowego rozsyłania trojanów wywołują one stosunkowo niewielkie lokalne epidemie i atakują najsłabiej zabezpieczonych użytkowników Internetu - tych, którzy wcale nie wykorzystują oprogramowania antywirusowego albo nie aktualizują systemu operacyjnego.

Wykorzystanie poczty elektronicznej do wywołania epidemii związane jest obecnie z wieloma problemami i nie przynosi dużych zysków. Brak luk krytycznych lub takich, które mogłyby umożliwić stworzenie robaka pocztowego pozwalającego na osiągnięcie zysków finansowych, jest dodatkową przeszkodą dla twórców wirusów, ponieważ oznacza konieczność znalezienia nowych metod przeniknięcia komputerów potencjalnych ofiar.

Poprzedni raport kwartalny firmy Kaspersky Lab opisywał zagrożenia związane z lukami w niektórych wersjach przeglądarek internetowych. Sytuacja nie poprawiła się od tego czasu. Luka MHTML URL Processing Vulnerability wciąż należy do najczęściej wykorzystywanych przez twórców wirusów. Jest to jednak tylko jeden z aspektów tego problemu - aby można było wykorzystać te lukę, trzeba nakłonić użytkowników do odwiedzenia niezabezpieczonej strony.

Luka MHTML URL Processing Vulnerability wciąż należy do najczęściej wykorzystywanych przez twórców wirusów.

Można osiągnąć to na dwa sposoby.

Pierwszym z nich jest stworzenie na dowolnym serwerze specjalnej witryny posiadającej stronę ze złośliwym kodem. Następnie przy pomocy technik spamowych należy rozesłać wiadomość e-mail zachęcającą użytkowników do wejścia na tę stronę - jest to klasyczna forma socjotechniki. Do masowego rozesłania wiadomości można wykorzystać inne programy, jak np. aplikacje IM (komunikatory internetowe).

Metoda ta jest najstarsza i najbardziej znana. W praktyce, większość takich witryn istnieje przez bardzo krótki czas, do momentu zamknięcia ich przez osoby udzielające miejsca na serwerze na prośbę firm antywirusowych lub organów ścigania przestępczości.

Druga metoda jest stosunkowo nowa: polega na atakowaniu popularnych witryn. Cyber-przestępców interesują powszechnie odwiedzane strony, ponieważ nie muszą już masowo rozsyłać wiadomości e-mail, aby zachęcić ogromną ilość użytkowników do odwiedzenia takich stron. Najczęściej atakowane witryny wykorzystują popularne silniki PHP (PhpBB, PhpNuke, WorldPress i inne). Dlaczego? Ponieważ w programach tych nieustannie wykrywane są luki, które umożliwiają nielegalne dodanie skryptów do wielu podstron witryny. W grudniu 2004 r. robak Santy udowodnił, jak szybko i łatwo można zaatakować dziesiątki, a nawet setki takich witryn. Cyber-przestępcy atakujący podobne witryny wykorzystują techniki zastosowane przez robaka Santy.

Najczęściej atakowane witryny wykorzystują popularne silniki PHP.

Możemy wyróżnić jeszcze jedną metodę wykorzystywaną przez autorów trojanów w celu uzyskania dostępu do witryn: infekowanie komputera właściciela lub firmy udostępniającej miejsce na witrynę, przez co zdobywają oni kontrolę nad kontem, z którego zarządzana jest witryna.

Przykładem takiego podejścia jest seria tegorocznych ataków na witryny wykorzystujące silniki PHP w rosyjskim segmencie Internetu. W większości przypadków celem ataków było zainstalowanie na komputerach użytkowników końcowych trojana szpiegującego LdPinch. Również tego roku głośny był incydent ataku na serwer MSN Korea. Według ekspertów z branży antywirusowej, minęło około 5 dni od momentu zaatakowania strony do wykrycia trojana. W tym czasie każdy, kto odwiedził stronę, mógł zostać zainfekowany, stało się tak w przypadku kilku tysięcy komputerów. Zidentyfikowano trojana wykorzystanego do przeprowadzenia ataku - jest to kolejny program szpiegujący kradnący konta użytkowników w popularnej grze on-line LineAge. W poprzednim raporcie kwartalnym alarmowaliśmy, że gry on-line oraz ich abonenci stają się celem cyber-przestępców; incydent z serwerem MSN Korea potwierdził nasze przewidywania.

Adware

Analitycy antywirusowi firmy Kaspersky Lab z zainteresowaniem śledzili rozwój programów Adware. Ta grupa szkodliwych programów ewoluuje w tempie niespotykanym w dzisiejszym świecie komputerowym; bezprecedensowa jest również liczba ich wariantów. Programy te pojawiły się kilka lat temu jako proste skrypty, które otwierały dodatkowe okna przeglądarki. Z niepożądanego, ale wciąż legalnego oprogramowania, ewoluowały do postaci złośliwych programów z wszystkimi ich cechami. W celu przeniknięcia do systemów i zamaskowania swojej obecności na zainfekowanych komputerach wiele programów adware stosuje technologie ze świata wirusów, takie jak wykorzysytywanie luk w przeglądarkach, technologia rootkit, dopisywanie swojego kodu do plików systemowych, zastępowanie aplikacji systemowych, zmiana plików na komputerze użytkownika itd.

Rozwój programów adware nie powinien nikogo dziwić biorąc pod uwagę ogromny rynek reklamy internetowej. Rynek ten szacowany jest na kilka miliardów dolarów i, co najważniejsze, udział w nim jest łakomym kąskiem, o który toczy się ostra walka. Aby go zdobyć, trzeba dotrzeć do jak największej liczby użytkowników i nie przebierać w środkach.

W czerwcu wykryliśmy program adware, który ukrywał swoją obecność w systemie przy pomocy sterownika rootkit. Jest to powód do niepokoju, ponieważ do tej pory zachowanie takie charakteryzowało tylko backdoory. Ogromna większość programów antywirusowych, jak również najnowsze rozwiązania przeznaczone do wykrywania adware/spyware nie potrafi wykrywać i usuwać rootkitów z systemów Windows. Jedynie wielofunkcyjny program antywirusowy, który pracuje z systemem operacyjnym na najniższych poziomach i monitoruje wszystkie funkcje systemowe, jest zdolny do wykrywania rootkitów w zainfekowanym systemie.

Ogólnie sytuacja związana z programami adware przypomina tradycyjną współzależność między programami złośliwymi a antywirusowymi. Im więcej pracy wkłada się w zwalczanie takich programów, tym bardziej przebiegłe i nielegalne stają się technologie stosowane do instalowania adware w systemach. Wygląda na to, że same programy antywirusowe, jak również te przeznaczone specjalnie do walki z adware, nie są w stanie rozwiązać problemu programów adware - potrzebny jest dialog między tymi, którzy zlecają i tworzą reklamę. Nie powinniśmy również zapominać, że przetrwanie Internetu zależy w dużej mierze od dochodów z reklamy, co stwarza oczywisty konflikt interesów.

Powrót technologii wirusowych

W ciągu ostatnich trzech czy czterech lat tradycyjne wirusy plikowe prawie całkowicie zniknęły ze sceny. Tak długi okres czasu może wskazywać na to, że aplikacje te niemalże wymarły, ponieważ nie pojawił się żaden program, który nie posiadając funkcji robaka potrafiłby wywołać poważną epidemię. Autorzy wirusów skupili się na tworzeniu trojanów i robaków, które nie są wprawdzie najszybszym narzędziem do spowodowania epidemii lub kradzieży danych, ale z pewnością znacznie prostszym od użycia wirusów plikowych.

Stworzenie wirusów plikowych, które będą działać poprawnie i infekować pliki więcej niż jednej wersji systemu Windows wymaga ogromnego doświadczenia w programowaniu. Polimorfizm jest istotną cechą takich wirusów, co oznacza, że programista musi posiadać doświadczenie w kodowaniu algorytmów.

Chociaż w przeciągu tego okresu nie wykryto żadnego poważnego wirusa plikowego, istnieje garstka takich wirusów stworzonych we wczesnym okresie. Zachowały również swoją zdolność rozprzestrzeniania się na całym świecie z wcześniej zainfekowanych komputerów.

Dlaczego nikt nie stosuje metod tworzenia takich wirusów, chociaż istnieją? Konsekwentne działania firm antywirusowych w zwalczaniu złośliwego oprogramowania zmusiły twórców wirusów do poszukiwania nowych sposobów przenikania komputerów i ukrywania ich obecności w zainfekowanych systemach. Jedną z najpopularniejszych metod jest wykorzystanie rootkitów, inną natomiast wprowadzanie złośliwego kodu do plików systemowych.

Ostatni raport kwartalny podawał szczegóły na temat wirusa Virus.Win32.Bube, złośliwego programu, który dopisywał swój kod do pliku iexplore.exe (plik wykonywalny przeglądarki Internet Explorer). Po uruchomieniu Internet Explorera wirus zachowywał się jak Trojan-Downloader. Oczywiście wykrycie i zablokowanie takiego zachowania przekraczało możliwości funkcjonalne większości współczesnych zapór ogniowych.

Problem ten interesował nie tylko profesjonalistów z branży antywirusowej, ale również twórców wirusów. Na początku roku wykryto epidemię bardzo specyficznego typu backdoora: każdy backdoor był legalnym typem pliku czy narzędzia (takiego jak winrar.exe), który zawierał kod trojana. Kod trojana dodawany był do standardowego pliku przy użyciu metod EPO (ukrywanie punktu wejściowego) i w zależności od tego, jaki podprogram był wywoływany w pliku głównym, aktywowany był kod trojana. Prawie wszystkie te backdoory EPO były wersją jednego z szeroko rozpowszechnionych programów bot - Agobot, Rbot lub SdBot. Z dużym prawdopodobieństwem pliki te (legalny program / narzędzie z dodanym backdoorem) tworzone były przy użyciu konstruktora wirusów, programu przeznaczonego do tworzenia złośliwych programów.

W maju i czerwcu nastąpił kolejny zwrot w "historii" pod tytułem kod trojana w plikach systemowych. Tym razem jednak użyto pakietu złośliwych programów. Głównym infektorem był Trojan-Downloader.Win32.Agent.ns - po przeniknięciu do systemu, oprócz ściągnięcia innych trojanów infekował również bibliotekę systemową wininet.dll. Niewielki fragment kodu dodany do tego pliku zapewnia dodatkowe funkcje pozwalające na przechwytywanie wszystkich odwołań do biblioteki (ma to miejsce podczas wykorzystywania przeglądarki Internet Explorer do surfowania po Internecie) oraz na ściąganie innych złośliwych programów. W tym przypadku wininet.dll został skutecznie zmieniony w wirusa (tj. program zainfekowany innym kodem).

Można powiedzieć, że w tym przypadku wirusem nazywany jest standardowy trojan, w końcu zainfekowany iexplore.exe lub wininet.dll nie zarazi innych plików w systemie. Być może klasyczny termin "wirus" nie został tu zastosowany poprawnie. Jednak jest to całkowicie nowa klasa złośliwych programów wykorzystujących metody tradycyjnie stosowane przez wirusy w celu umieszczenia własnego kodu w innych programach. Mimo to programy te różnią się od wirusów tym, że złośliwy kod nie powiela się samoczynnie. Z tego względu firma Kaspersky Lab klasyfikuje takie programy jako podgrupę wirusów, obok wirusów nadpisujących i towarzyszących. Jeśli w najbliższej przyszłości wirusy te rozpowszechnią się (istnieją przesłanki ku temu), prawdopodobnie utworzona zostanie dla nich osobna klasa.

Te nowe typy złośliwych programów ukazują, jak ważne jest, aby użytkownicy kontrolowali nie tylko nowe pliki na komputerze, ale również te starsze, które zostały już sprawdzone pod kątem infekcji; od czasu ostatniego skanowania w plikach tych mógł zostać zamieszczony złośliwy kod. Poza sprawdzaniem rozmiaru pliku należy jeszcze monitorować ich zawartość, ponieważ wirus nie musiał zmieniać rozmiaru zainfekowanego pliku. W rezultacie zwiększa się również potrzeba skutecznego monitorowania plików w programach.

Elektroniczni zakładnicy

W grudniu 2004 r. otrzymaliśmy pierwsze próbki plików zaszyfrowanych przez nieznany program szyfrujący. Nic nie wskazywało na to, że pół roku później pliki te będą tak powszechne, że będą napływać do nas w ilości kilkudziesięciu dziennie. Nikt nie podejrzewał również, że w ciągu jednego tygodnia w czerwcu liczba różnych metod szyfrowania przekroczy dwa tuziny.

Virus.Win32.Gpcode zapoczątkował nowy rozdział w historii cyber-przestępczości. Nowe podejście przypomina sytuację z zakładnikami i okupem. Lawina wiadomości e-mail od użytkowników z Rosji oraz znacznie mniejsza liczba zgłoszeń od ofiar z innych miejsc na świecie pokazuje, że szantaż i gangsterskie metody stają się powszechne w Internecie.

Niestety, wciąż nie jest do końca jasne, jak ten złośliwy program przenika do systemów ofiar. Większość zainfekowanych systemów należy do banków, organizacji finansowych i agencji reklamowych, głównych producentów, biur nieruchomości i innych organizacji charakteryzujących się dużym obiegiem dokumentów. Niewiele użytkowników domowych padło ofiarą tego złośliwego programu. Dlatego sadzi się, że był to atak wymierzony w konkretny cel. Jeśli tak, powstaje pytanie, w jaki sposób został przeprowadzony? Prawdopodobnie wiadomości zostały rozesłane przy użyciu technik spamowych na określone adresy, jednak w programach pocztowych ofiar nie wykryto żadnych trojanów - niektóre z zainfekowanych komputerów nie posiadają nawet poczty. Złośliwy program mógł przeniknąć przez lukę w przeglądarce Internet Explorer, jednak oznaczałoby to, że wszystkie poszkodowane organizacje odwiedziły tę samą zainfekowaną stronę; do tej pory przypuszczenia te nie zostały potwierdzone. Geograficzna lokalizacja ofiar pozwala sądzić, że była to epidemia lokalna, ograniczająca się do jednego miasta lub regionu. Na koniec, z ogromnej liczby różnych programów szyfrujących można wnioskować, że nie było jednego źródła infekcji - wszystkie ofiary zostały zainfekowane w różnym czasie, nie z jednego zewnętrznego źródła.

Niestety, wciąż nie jest do końca jasne, jak ten złośliwy program przenika do systemów ofiar.

Uwzględniając to wszystko, jakie są inne możliwe wyjaśnienia? Bomba logiczna? Jest to program, który uruchamia się w momencie, gdy wybrana aplikacja - w tym przypadku aplikacja księgowa lub finansowa - osiąga wyznaczony stan. Wszystkie zainfekowane organizacje musiałyby wykorzystywać to samo oprogramowanie, aby hipoteza ta mogła być prawdziwa.

Chociaż złośliwy program szyfrujący dane usuwa się z systemu po zakończeniu procesu szyfrowania, firma Kaspersky Lab otrzymała i zanalizowała kilka różnych próbek. Program przeszukuje wszystkie foldery na komputerach ofiar przy użyciu określonego algorytmu, szyfruje wszystkie dokumenty we wszystkich formatach, jak również bazy pocztowe. Każdy folder z zaszyfrowanymi plikami zawiera plik o nazwie readme.txt - w pliku tym znajduje się adres e-mail, pod którym można skontaktować się z autorem programu. Ofierze zostaje złożona oferta: zapłać, a wtedy odszyfrujemy twoje pliki. Jest to ewidentny szantaż. Jest bardzo prawdopodobne, że cyber-przestępca, lub grupa stojąca za wirusem Gpcode pochodzi z Rosji; wskazują na to pewne ciągi tekstowe w wiadomościach, adres e-mail, jak również niektóre zaszyfrowane formaty plików, które są charakterystyczne dla Rosji.

Również na Zachodzie wykryto pliki zainfekowane wirusem GPCode, jednak w tym przypadku wiadomości od autora programu napisane były w języku angielskim. Jest to kolejny wyraźny znak, że ataki na rosyjskie, jak również inne, segmenty Internetu są zróżnicowane, tak pod względem czasu, jak i wykorzystanych wariantów programu.

Najsmutniejsza w całej tej sprawie jest ilość użytkowników, którzy skontaktowali się z autorem złośliwego programu i zapłacili żądany okup. Tym samym nie tylko stracili pieniądze, ale zachęcili autora do tworzenia nowych wersji programu szyfrującego w celu przeprowadzania nowych ataków na kolejnych użytkowników. Jest to zachowanie niedopuszczalne, a wręcz niewytłumaczalne. Algorytmy szyfrujące wykorzystane do szyfrowania plików są bardzo prymitywne, a zaszyfrowane pliki można łatwo przywrócić do oryginalnej postaci przy pomocy dobrego programu antywirusowego zawierającego odpowiednie procedury wykrywania i leczenia. Użytkownik musi tylko przesłać zaszyfrowany plik do analizy w firmie antywirusowej. Niestety, niektórzy użytkownicy wolą zapłacić za odszyfrowanie swoich plików, co podważa sens wydawania środków finansowych na tworzenie polityki bezpieczeństwa IT.

Na podstawie analizy obecnej sytuacji eksperci z branży bezpieczeństwa IT wnioskują, że sprawa szyfrowania plików może potoczyć się różnymi torami. Jeśli organy legislacyjne i egzekucyjne, zarówno w Rosji jak i na całym świecie, nie podejmą teraz zdecydowanych działań, w przyszłości mogą powstać skuteczniejsze metody szyfrowania wykorzystywane przez przestępców na skalę masową w celu uzyskania korzyści finansowych.

Kaspersky Lab zaleca wszystkim, którzy pracują w zagrożonych organizacjach, aby przeprowadzali kontrolę bieżących systemów i aplikacji. Aby zabezpieczyć się przed utratą danych, należy również regularnie sporządzać kopie zapasowe danych.

Polityka a wirusy

Złośliwe programy, które zawierają polityczne slogany lub kierują uwagę na określonego polityka lub grupę polityczną nie są żadną nowością w świecie wirusów. W roku 1990 ogromna większość takich wirusów została stworzona w Rosji i byłych republikach Związku Radzieckiego. Można to łatwo wytłumaczyć politycznym klimatem tamtego okresu. Atmosfera polityczna przemawiała nie tylko do opinii publicznej, ale również do twórców wirusów. Postacie polityczne stawały się celem karykatury zarówno graficznej, jak i słownej. Wkrótce jednak wirusy te zaczęły znikać. Ostatnim powszechnie znanym przedstawicielem tej grupy wirusów był Email-Worm.Win32.Sexer (październik 2003), który zachęcał do głosowania na jednego z kandydatów na burmistrza i zniknął ze sceny wkrótce po wyborach.

W Europie, jednak, aż do niedawna mieliśmy do czynienia z odwróconą sytuacją - w okresie gdy wirusy polityczne aktywnie rozprzestrzeniały się w Rosji i byłych republikach Związku Radzieckiego, w Europie wirusy były po prostu złośliwymi programami bez żadnych podtekstów politycznych. Sytuacja uległa zmianie wraz z wykryciem złośliwego kodu, takiego jak robak Email-Worm.Win32.Blare, który zawierał tekst krytykujący brytyjskiego lidera Tony'ego Blaira. Inne wirusy zawierały ataki na prezydenta Stanów Zjednoczonych, George'a Busha oraz komentarze dotyczące wojny z Irakiem.

Jeżeli chodzi o wirusy polityczne, Email-Worm.Win32.Sober zdecydowanie wyróżnia się na tle innych - rodzina ta istnieje od półtora roku i kilka wariantów charakteryzowało się zdecydowanymi politycznymi preferencjami.

W maju 2005 r. miliony użytkowników poczty elektronicznej z Europy Zachodniej otrzymały wiadomości zawierające propagandę ultraprawicy. Wiadomości te zostały rozesłane z komputerów, które zostały wcześniej zainfekowane robakiem Sober.p i jego wariantem Sober.q.

Autor robaka wyraźnie planował atak. Na początku maja Sober.p spowodował epidemię. Robak ten następnie ściągnął na zainfekowane komputery inny składnik, robaka Sober.q. Wydaje się, że wykorzystanie złośliwego kodu i technik spamowych do wyrażenia poglądów politycznych było jego własną inicjatywą. Jednak, metody te mogły bardzo szybko zyskać popularność pośród samych grup politycznych. W rezultacie, wirusy polityczne mogły powstawać na zamówienie.

Cyber-wojny toczone obecnie w Azji również mogą świadczyć o tym, że nowe cyber-zagrożenia mają znamiona polityczne. Długotrwały konflikt pomiędzy hinduskimi a pakistańskimi hakerami (w trakcie którego powstał głośny robak Lentin) do dziś nie został zakończony. W tym roku rozpoczął się najnowszy polityczny konflikt między Chinami a Japonią, który przejawia się nie tylko zamieszkami na ulicach, ale przenosi się również do cyberprzestrzeni, gdzie chińscy hakerzy atakują liczne serwery rządowe w Japonii. Włamują się do niektórych serwerów oraz sprawiają, że inne załamują się. Podobne incydenty miały miejsce pomiędzy Chińczykami a Tajwańczykami, jak również w Południowej Korei. W ciągu ostatnich pięciu miesięcy przeprowadzono ataki na kilka witryn rosyjskich należących do organizacji politycznych, w wielu przypadkach przyznały się do nich polityczni przeciwnicy zaatakowanych ugrupowań.

Jeśli trendy te będą się rozwijały, może to mieć poważne konsekwencje. Epidemie wirusów sparaliżowały niektóre departamenty rządowe (np. Amerykański Departament Stanu podczas epidemii robaka Welchia w 2003 r.). Jednak, atak ten nie był wymierzony w konkretny cel - gdyby skonstruowano atak, którego celem byłaby narodowa infrastruktura państwa, zagrożone byłyby życie ludzkie. Na początku tego raportu kwartalnego znalazła się wzmianka o obecnych zagrożeniach instytucji finansowych, co jest dość zatrważające. W przyszłości, jednak, mogą nastąpić ataki na organizacje polityczne i wojskowe w celu wywołania chaosu, zdobycia przewagi politycznej, a nawet przejęcia władzy.

Podsumowanie

W pierwszej połowie 2005 roku jednym z głównych trendów cyber-przestępczego świata było odejście od rozległych epidemii na rzecz ataków skierowanych na określone cele. Tendencja ta jest widoczna w rozwoju wszystkich rodzajów szkodliwego oprogramowania oraz we wszystkich gałęziach cyber-przestępczości.

Nowe zagrożenia przeznaczone do atakowania użytkowników komputerów domowych coraz częściej wykorzystują rootkity w celu ukrywania swojej obecności w zainfekowanych systemach. Technologia ta jest nawet wykorzystywana przez twórców oprogramowania adware. Trojany zaczynają korzystać z metod tradycyjnie stosowanych w klasycznych wirusach, co pozwala im na omijanie większości zapór ogniowych. Ukazuje to, że techniczne umiejętności twórców szkodliwego oprogramowania stale rosną. Brak rozległych epidemii nie świadczy o tym, że komputery nie są infekowane. Powodem są konsekwentne działania firm antywirusowych w zwalczaniu złośliwego oprogramowania, które zmusiły twórców wirusów do poszukiwania nowych sposobów przenikania komputerów i ukrywania ich obecności w zainfekowanych systemach.

Co przyniesie druga połowa 2005 roku? Następny raport kwartalny przygotowany przez analityków z firmy Kaspersky Lab, obejmujący lato i początek jesieni, pojawi się na tej stronie za trzy miesiące.