Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin 2009. Ewolucja szkodliwego oprogramowania

Tagi:

Jewgienij Asiejew
Aleksander Gostiew
  1. Kaspersky Security Bulletin 2009. Ewolucja szkodliwego oprogramowania
  2. Kaspersky Security Bulletin 2009. Statystyki
  3. Kaspersky Security Bulletin 2009: Ewolucja spamu

Trendy

Rok 2009 stanowi kamień milowy zarówno w historii szkodliwego oprogramowania, jak i historii cyberprzestępczości - na obu obszarach nastąpiła znacząca zmiana kierunku. Ten rok stanowi fundament tego, czego możemy spodziewać się w przyszłości.

W latach 2007-2008 praktyka tworzenia niekomercyjnego szkodliwego oprogramowania niemal zanikła. Głównym rodzajem szkodliwego oprogramowania był trojan kradnący dane, a cyberprzestępcy byli szczególnie zainteresowani danymi należącymi do osób grających w gry online - ich hasłami, postaciami oraz przedmiotami.

W ciągu minionych 3-4 lat Chiny stały się największym źródłem szkodliwego oprogramowania. Chińscy cyberprzestępcy stworzyli tak dużą liczbę szkodliwych programów, że przez ostatnie 2 lata firmy antywirusowe, bez wyjątku, skoncentrowały większość swoich wysiłków na zwalczanie chińskiego szkodliwego oprogramowania.

Statystyki tworzone przez różne firmy różnią się (niektóre firmy liczą pliki, inne liczą liczbę sygnatur, jeszcze inne liczbę ataków), jednak wszystkie z nich odzwierciedlają gwałtowny wzrost liczby szkodliwych programów w 2008 roku. O ile w ciągu 15 lat (od 1992 roku do 2007) Kaspersky Lab zidentyfikował ponad 2 miliony unikatowych szkodliwych programów, w przeciągu zaledwie jednego roku (2008) nasza firma zidentyfikowała ponad 15 milionów unikatowych szkodliwych programów.

W 2009 roku liczba szkodliwych programów w kolekcji firmy Kaspersky Lab osiągnęła 33,9 milionów.

ksb09_malware_ru_pic01_en.png
Liczba szkodliwych programów w kolekcji Kaspersky Lab

W okresie 2007-2009 znacznie wzrosła liczba nowych zagrożeń. Skutkiem był wzrost wydajności centrów antywirusowych przetwarzających zagrożenia (oraz związanych z tym technologii antywirusowych "w chmurze"); rozwój nowych technik automatycznego wykrywania; implementacja nowych metod heurystycznych, wirtualizacji i analizy zachowania. Innymi słowy, reakcją branży antywirusowej było stworzenie nowych technologii mających na celu poprawę jakości wykrywania. Można powiedzieć, że nastąpiła rewolucja technologiczna w branży. W 2009 roku standardowe rozwiązanie antywirusowe z lat 90 zeszłego stulecia (skaner i monitor) nie spełniało już wymagań rzeczywistości i zostało zastąpione rozwiązaniami łączonymi - produktami typu Internet Security, które integrowały szeroki wachlarz technologii, w celu zaoferowania skuteczniejszej ochrony.

W okresie 2007 - 2008 liczba nowych zagrożeń wzrosła gwałtownie. W 2009 roku zidentyfikowaliśmy prawie taką samą liczbę szkodliwych programów co w 2008 roku - około 15 milionów.

ksb09_malware_ru_pic02_en.png
Liczba nowych szkodliwych programów zidentyfikowanych w ciągu roku

Jest kilka powodów takiej sytuacji. Wzrost liczby szkodliwego oprogramowania z 2008 roku spowodowany był nie tylko gwałtowną ewolucją w dziedzinie tworzenia wirusów w Chinach, ale również ewolucją technologii infekowania plików, która doprowadziła do wzrostu liczby unikatowych szkodliwych plików. Pewną rolę odegrało również połączenie wykorzystywanych wektorów ataków oraz zwrot w kierunku ataków na przeglądarki internetowe.

Wszystkie te trendy były widoczne również w 2009 roku, jednak nastąpiło znaczące spowolnienie wzrostu liczby szkodliwych programów. Co więcej, nastąpił spadek aktywności trojanów, np. tych atakujących gry. Trend ten, który przewidywaliśmy to pod koniec 2008 roku, stał się wyraźny w połowie 2009 roku.

Poważna konkurencja na rynku, spadek zysków cyberprzestępców oraz wysiłki firm antywirusowych doprowadziły do spadku liczby trojanów atakujących gry - trend ten został dostrzeżony przez innych producentów rozwiązań antywirusowych w połowie 2009 roku.

Do czynników, które doprowadziły do tego spadku, należały działania wydawców gier, którzy zaczęli reagować na problem bezpieczeństwa. Z drugiej strony również wielu graczy zaczęło podejmować działania w celu zabezpieczenia się przed takimi zagrożeniami.

W zmniejszeniu liczby szkodliwych programów pomogły również skuteczne przedsięwzięcia podejmowane przez organy ścigania i regulacyjne, firmy telekomunikacyjne i z branży antywirusowej skierowane przeciwko nielegalnym firmom i serwisom oferującym hosting internetowy. Pierwszy krok został podjęty w 2008 roku, gdy zamknięto takie serwisy jak McColo, Atrivo czy EstDomains. W 2009 roku podjęto dalsze działania, w wyniku których UkrTeleGroup, RealHost oraz 3FN zostały zmuszone do zaprzestania swojej działalności.

Firmy te znane były z oferowania usług dla wszelkiej maści spamerów i cyberprzestępców, łącznie z dostarczaniem centrów kontroli botnetów, zasobów i stron phishingowych, exploitów itd.

Jednak zamknięcie przestępczych serwisów hostingowych nie położyło kresu działalności przestępczej i spamerskiej, ponieważ cyberprzestępcy zdołali znaleźć nowe zasoby. Mimo to w okresie, gdy tego rodzaju przestępcy byli zajęci "przeprowadzką", Internet stał się bezpieczniejszy.

Obecnie wszystkie znaki wskazują na to, że opisany wyżej trend utrzyma się w 2010 roku, a liczba unikatowych szkodliwych programów stworzonych w 2010 roku będzie podobna do tej z 2009 roku.

Podsumowanie roku

Rok 2009 charakteryzował się złożonymi szkodliwymi programami z funkcjonalnością rootkita; globalnymi epidemiami; robakiem Kido (Conficker); atakami i botnetami sieciowymi; oszustwami SMS-owymi i atakami na portale społecznościowe.

Większe wyrafinowanie

W 2009 roku szkodliwe programy stały się znacznie bardziej złożone. Na przykład o ile w przeszłości istniała zaledwie garstka rodzin szkodliwego oprogramowania z funkcjonalnością rootkita, w 2009 roku programy tego rodzaju nie tylko stały się szeroko rozprzestrzenione, ale również znacznie bardziej wyrafinowane. Zagrożenia, które zasługują na wzmiankę w tym kontekście, to Sinowal (bootkit), TDSS oraz Clampi.

Analitycy z Kaspersky Lab śledzili ewolucję Sinowala przez dwa ostatnie lata; wiosną 2009 roku miała miejsce ostatnia fala rozprzestrzeniania się tego szkodliwego oprogramowania. Szkodniki te skutecznie zamaskowały swoją obecność w systemie, a większość programów antywirusowych nie potrafiła ich wykryć. W tym czasie bootkit był najbardziej zaawansowanym szkodliwym programem. Co więcej, Sinowal aktywnie zwalczał wysiłki firm antywirusowych, które dążyły do wyeliminowania centrum kontroli botnetu.

W większości przypadków bootkit rozprzestrzenia się za pośrednictwem zainfekowanych stron internetowych, portali oferujących materiały pornograficzne oraz strony zawierające nielegalne oprogramowanie. Prawie wszystkie serwery, które zainfekowały maszyny, były częścią tak zwanych "programów afiliackich", w których współpracowali ze sobą właściciele stron i autorzy szkodliwego oprogramowania. Tego rodzaju działania są bardzo popularne w rosyjskim i ukraińskim świecie cyberprzestępczym.

Inny szkodliwy program, TDSS, jednocześnie zaimplementował dwie niezwykle złożone technologie: infekuje sterowniki systemu Windows i tworzy swój własny wirtualny system plików, w którym ukrywa swój (szkodliwy) kod. TDSS był pierwszym szkodliwym programem, który potrafił przeniknąć do system na takim poziomie.

Clampi został zauważony przez ekspertów ds. bezpieczeństwa latem 2009 roku, gdy zainfekowanych zostało wiele dużych amerykańskich firm oraz organizacji rządowych. Szkodnik ten, który po raz pierwszy pojawił się w 2008 roku (a według niektórych danych, pochodził z Rosji), został stworzony w celu kradzieży danych dotyczących kont w określonych systemach bankowości online. Jego modyfikacja, która pojawiła się w 2009 roku, różniła się od poprzednich wariantów nie tylko swoją wyrafinowaną, wielomodułową strukturą (podobną do tej zaimplementowanej w niesławnym trojanie Zbot), ale również wysoce złożoną strukturą komunikacji wykorzystywaną w stworzonym przez siebie botnecie, który szyfrował ruch przy użyciu RSA. Inną cechą charakterystyczną Clampi było wykorzystywanie standardowych narzędzi Windowsa podczas rozprzestrzeniania się za pośrednictwem sieci lokalnych. Spowodowało to wiele problemów dla pewnych rozwiązań antywirusowych, które nie potrafiły zablokować "aplikacji z białych list", a tym samym nie były w stanie odeprzeć tego ataku.

Zagrożenia te były również znane z ich szerokiego rozpowszechnienia w Internecie. Zarówno Sinowal jak i Clampi spowodowały epidemie na poziomie globalnym, a TDSS był odpowiedzialny za jedną z największych epidemii w 2009 roku. Packed.Win32.Tdss.z, który pojawił się we wrześniu i został nazwany przez jego autora "TDL 3", był szczególnie szeroko rozpowszechniony.

Epidemie

W zeszłym roku przewidywaliśmy wzrost globalnych epidemii, niestety nasze prognozy okazały się słuszne. Globalne epidemie były spowodowane nie tylko wymienionymi wyżej zagrożeniami, ale całym szeregiem innych szkodliwych programów.

Ataki na komputery

Dane zebrane przez Kaspersky Security Network pokazują, że ponad milion systemów zostało zaatakowanych przez wymienione niżej szkodliwe programy:

  • Kido — robak
  • Sality — wirus/ robak
  • Brontok — robak
  • Mabezat — robak
  • Parite.b — wirus plikowy
  • Virut.ce — wirus/ bot
  • Sohanad — robak
  • TDSS.z — rootkit/backdoor

Bez wątpienia, największa epidemia roku była wywołana przez robaka Conficker (znany również jako Kido), który zainfekował miliony maszyn na całym świecie. Szkodnik ten przenikał maszyny swoich ofiar na kilka sposobów: łamiąc hasła sieciowe za pomocą ataku brute-force, za pośrednictwem USB oraz wykorzystując lukę w zabezpieczeniach Windows MS08-067. Każda zainfekowana maszyna stawała się następnie częścią botnetu. Zwalczanie botnetu utrudniał fakt, że Kido implementował najnowsze, najbardziej wyrafinowane technologie tworzenia wirusów. Na przykład, jedna z modyfikacji robaka została tak zaprogramowana, żeby aktualizowała się z 500 domen; adresy tych domen zostały losowo wybrane z listy 50 000 adresów, która była generowana każdego dnia. Jako dodatkowy kanał aktualizacji zostały wykorzystane połączenia przypominające P2P. Kido uniemożliwiał również aktualizowanie rozwiązań bezpieczeństwa, wyłączał usługi bezpieczeństwa i blokował dostęp do stron producentów antywirusowych.

Twórcy Kido byli stosunkowo spokojni aż do marca 2009 roku. Szacujemy jednak, że do tego czasu zdołali zainfekować 5 milionów komputerów na całym świecie. Mimo że Kido nie rozprzestrzeniał się poprzez spam i nie przeprowadzał ataków DoS, badacze spodziewali się, że nastąpi to 1 kwietnia, ponieważ celem wersji Kido, która zaczęła rozprzestrzeniać się w marcu, było rozpoczęcie pobierania dodatkowych modułów na początku kwietnia. Jednak twórcy Kido czekali i w nocy z 8 na 9 kwietnia zainfekowanym maszynom wydano polecenie aktualizacji szkodnika za pośrednictwem P2P. Poza aktualizacjami Kido zainfekowane maszyny pobierały dwa dodatkowe programy: wersję robaka Email-Worm.Win32.Iksmas, który rozsyła spam, oraz wersję narzędzia FraudTool.Win32.SpywareProtect2009, fałszywego programu antywirusowego, który żąda pieniędzy w zamian za usunięcie zagrożeń, które rzekomo zostały wykryte na komputerze.

W celu zwalczania tak szeroko rozpowszechnionego zagrożenia stworzono specjalną grupę Conficker Working Group. Grupa ta skupiała firmy antywirusowe, dostawców Internetu, niezależne organizacje badawcze, instytucje edukacyjne oraz regulacyjne. Grupa ta była pierwszym przykładem poważnej międzynarodowej współpracy, która wykraczała poza granice codziennej komunikacji specjalistów zajmujących się zwalczaniem wirusów. Mogłaby stanowić model interakcji organizacji z całego świata mającej na celu zwalczanie globalnych zagrożeń.

Epidemia robaka Kido (Conficker) trwała przez cały rok 2009, a w listopadzie liczba zainfekowanych maszyn przekroczyła 7 milionów.

ksb09_malware_ru_pic03s.png enlarge.gif

Epidemia wywołana przez robaka Kido. Źródło: www.shadowserver.org

Nasze doświadczenia związane z epidemiami spowodowanymi przez inne robaki (Lovesan, Sasser, Slammer) sugerują, że w 2010 roku rozpowszechnienie robaka Kido nadal będzie miało rozmiary epidemii.

Warto wspomnieć o epidemii spowodowanej przez Viruta. Virus.Win32.Virut.ce wyróżnia się tym, że atakuje usługi sieciowe. Na uwagę zasługują również jego metody infekcji: szkodnik ten nie tylko infekuje pliki wykonywalne z rozszerzeniem .EXE i .SCR, ale również dodaje specjalnie stworzony kod na koniec plików z rozszerzeniem .HTM, .PHP oraz .ASP w postaci odsyłacza, na przykład <iframe src="https://ntkr(xxx).info/cr/?i=1" width=1 height=1></ iframe>

Podczas gdy użytkownik przegląda legalną (niezainfekowaną) stronę, na jego komputer pobierana jest szkodliwa zawartość zlokalizowana w odsyłaczu. Wirus rozprzestrzenia się również za pośrednictwem sieci P2P wraz z zainfekowanymi generatorami kluczy oraz dystrybucjami popularnego oprogramowania. Celem jest połączenie zainfekowanych komputerów w botnet IRC, który jest wykorzystywany do rozsyłania spamu.

Zainfekowane zasoby sieciowe

Jedna z największych epidemii w Internecie, która dotknęła dziesiątki tysięcy zasobów, była spowodowana kilkoma falami infekcji Gumblara. Zaczęło się od zainfekowania skryptem legalnych stron internetowych. Skrypt ten ukradkiem przekierowywał żądania do stron cyberprzestępczych stworzonych w celu rozprzestrzeniania szkodliwego oprogramowania.

Szkodnik ten został nazwany Gumblar od nazwy szkodliwej strony wykorzystanej w pierwszym ataku, do której zostali przekierowani użytkownicy przeglądający zainfekowane zasoby. Następnie strona ta infekowała komputery. Ataki te stanowiły doskonały przykład sposobu działania Malware 2.5 (temat ten został podjęty w Kaspersky Security Bulletin: Ewolucja szkodliwego oprogramowania 2008, który został opublikowany na początku zeszłego roku).

Jesienią odsyłacze, które zostały umieszczone na skompromitowanych stronach, nie prowadziły już do stron cyberprzestępczych, ale do legalnych, zainfekowanych stron; znacznie utrudniło to zwalczanie epidemii Gumblara.

W jaki sposób Gumblar rozprzestrzeniał się tak szybko? Odpowiedź jest prosta: Gumblar to w pełni zautomatyzowany system. Specjaliści zajmujący się zwalczaniem wirusów mają do czynienia z nową generacją samodzielnie rozbudowujących się botnetów. System ma charakter cykliczny: osoby odwiedzające skompromitowane strony są aktywnie atakowane, następnie, po zainfekowaniu komputerów przy użyciu plików wykonywalnych Windowsa, zostają skradzione dane dostępu do konta FTP. Konta te są następnie wykorzystywane do infekowania wszystkich stron na nowych (wcześniej niezainfekowanych) serwerach sieciowych. W ten sposób zwiększa się liczba zainfekowanych stron, a w rezultacie zostaje zainfekowanych coraz więcej komputerów. Cały proces jest zautomatyzowany, a właściciele systemu muszą tylko aktualizować wykonywalny plik trojana, który kradnie hasła oraz exploity wykorzystywane do przeprowadzania ataków na przeglądarki.

Oszustwa

Oszustwa występujące w Internecie stają się coraz bardziej zróżnicowane. Oprócz powszechnych ataków phishingowych występują obecnie strony oferujące dostęp do szeregu płatnych usług. (Naturalnie w rzeczywistości usługi nigdy nie są dostarczane.) Liderem pod tym względem jest Rosja. To właśnie rosyjscy oszuści stworzyli szeroki wachlarz stron oferujących "usługi", takie jak "zlokalizuj osobę za pośrednictwem GSM", "czytaj prywatne wiadomości na portalach społecznościowych", "gromadź informacje" itd. Aby skorzystać z takiej "usługi", użytkownik musi wysłać SMS na numer o podwyższonej opłacie, nikt jednak nie informuje go, że SMS może kosztować nawet do 10 dolarów. Alternatywnie, użytkownikowi proponuje się "subskrypcję", także przez SMS, a po dokonaniu subskrypcji opłata jest pobierana codziennie z jego konta mobilnego.

Zidentyfikowano kilkaset takich “usług", wspieranych przez kilkadziesiąt programów afiliackich. "Usługi" te były promowane przy pomocy tradycyjnego spamu rozsyłanego za pośrednictwem poczty elektronicznej, spamu na portalach społecznościowych oraz rozsyłanego poprzez komunikatory internetowe. W celu przeprowadzenia przyszłych ataków spamowych cyberprzestępcy wykorzystali następnie szkodliwe oprogramowanie oraz ataki phishingowe mające na celu uzyskanie dostępu do konta użytkowników, stworzyli dziesiątki fałszywych portali społecznościowych itd. Dopiero pod koniec 2009 roku dostawcy usług mobilnych, administratorzy porali społecznościowych oraz branża antywirusowa zaczęli skutecznie zwalczać tego typu aktywność cyberprzestępczą.

Jak już wspomniano, częścią szkodliwej funkcji robaka Kido jest pobieranie na komputery ofiary fałszywego rozwiązania antywirusowego. Fałszywe rozwiązania antywirusowe próbują przekonać użytkownika, że na jego komputerze znajdują się zagrożenia (mimo że w rzeczywistości nie jest to prawdą) oraz nakłonić go do "aktywowania" go (za co musi zapłacić). Im bardziej takie fałszywe rozwiązania przypominają prawdziwe oprogramowanie, tym większe szanse, że ofiara zapłaci.

W 2009 roku oszuści i cyberprzestępcy coraz częściej wykorzystywali fałszywe rozwiązania antywirusowe. Fałszywe oprogramowanie jest rozprzestrzeniane nie tylko przy użyciu innych szkodliwych programów, ale również poprzez reklamy internetowe. Obecnie spora liczba stron wyświetla banery promujące nowy "cudowny" produkt, który ma być lekarstwem na wszystko. Nawet legalne strony często pokazują takie banery flashowe lub natarczywe reklamy we flashu takich "nowych produktów antywirusowych". Podobnie często można się natknąć na okienka wyskakujące, które oferują możliwość pobrania takich rozwiązań za darmo.

Fałszywe rozwiązania antywirusowe pojawiły się, a następnie rozpowszechniły dzięki temu, że można je łatwo stworzyć, istnieje już dojrzały system dystrybucji i mogą być wykorzystywane do osiągnięcia dużych zysków w krótkim czasie. W listopadzie 2009 roku FBI oszacowało, że przy pomocy fałszywych rozwiązań antywirusowych cyberprzestępcy zdołali zarobić średnio 150 milionów dolarów (www.scmagazineus.com).

Kolekcja firmy Kaspersky Lab zawiera obecnie ponad 300 rodzin fałszywego oprogramowania antywirusowego.

Szkodliwe oprogramowanie dla alternatywnych platform i urządzeń

W 2009 roku cyberprzestępcy nadal badali możliwości oferowane przez alternatywne platformy, takie jak Mac OS oraz mobilne systemy operacyjne. Sam Apple podjął działania zmierzające do wyeliminowania problemu szkodliwego oprogramowania atakującego komputery Mac, integrując skaner antywirusowy w najnowszej wersji swojego systemu operacyjnego - wcześniej firma twierdziła, że szkodliwe oprogramowanie nie stanowi zagrożenia dla systemu Mac OS. Jednak w obszarze mobilnych systemów operacyjnych sytuacja pozostaje niejasna. Z jednej strony, w 2009 roku nastąpiło to, co przewidywano od dawna: pojawił się pierwszy szkodnik dla iPhone'a w postaci robaka Ike, został stworzony pierwszy program spyware atakujący Androida oraz zidentyfikowano pierwszego podpisanego cyfrowo szkodnika dla smartfonów z Symbianem. Z drugiej strony, nadal istnieje rywalizacja o udział w rynku mobilnych systemów operacyjnych, co oznacza, że twórcy wirusów nie potrafią skoncentrować swoich wysiłków na jednej platformie.

W 2009 roku zidentyfikowano 39 nowych rodzin mobilnego szkodliwego oprogramowania oraz 257 nowych wariantów mobilnych szkodników. Dla porównania, w 2008 roku zidentyfikowano 30 nowych rodzin i 143 nowych modyfikacji. Wykres poniżej pokazuje rozkład według miesiąca:

ksb09_malware_ru_pic04_en.png
Nowe modyfikacje mobilnego szkodliwego oprogramowania w poszczególnych miesiącach (2008-2009)

Najważniejsze wydarzenia dotyczące mobilnego szkodliwego oprogramowania zostały opisane w artykule Ewolucja mobilnego szkodliwego oprogramowania: Przegląd, Część 3. Warto zwrócić uwagę na następujące wydarzenia i trendy 2009 roku:

  • mobilne szkodliwe programy są już tworzone z myślą o zarabianiu pieniędzy
  • pojawiły się podpisane szkodliwe programy dla systemu Symbian S60 (3rd Edition)
  • szereg różnych oszustw za pośrednictwem SMS
  • pojawienie się szkodliwych programów stworzonych w celu zarabiania pieniędzy, potrafiących kontaktować się ze zdalnymi serwerami cyberprzestępców

Do pojawienia się tego rodzaju programów przyczyniła się popularność sieci WiFi oraz dostępność tanich usług Internetu mobilnego: oba te czynniki pozwalają właścicielom telefonów komórkowych oraz smartfonów znacznie częściej korzystać z Internetu. Najważniejszym wydarzeniem drugiej połowy 2009 roku dotyczącym mobilnego szkodliwego oprogramowania było prawdopodobnie pojawienie się szkodliwego oprogramowania potrafiącego kontaktować się ze zdalnymi serwerami.

Szkodliwe oprogramowanie, które potrafi kontaktować się ze zdalnymi serwerami, otworzyło przed cyberprzestępcami nowe możliwości.

  1. Trojany SMS, które wysyłają wiadomości SMS na numery o podwyższonej opłacie, potrafią uzyskać parametry wiadomości ze zdalnego serwera. Jeżeli określony prefiks zostanie zablokowany, cyberprzestępcy nie będą musieli wykorzystywać innego szkodliwego programu, a jedynie zmienić prefiks na serwerze.
  2. Szkodliwe oprogramowanie zainstalowane na urządzeniach mobilnych może zostać uaktualnione ze zdalnego serwera.
  3. Mobilne szkodliwe oprogramowanie, które potrafi połączyć się ze zdalnym serwerem, może być pierwszym krokiem w kierunku stworzenia botnetów składających się z zainfekowanych urządzeń mobilnych.

Trendy te prawdopodobnie utrzymają się do 2010 roku, a branża antywirusowa będzie musiała zmierzyć się z dużą liczbą szkodliwych programów dla urządzeń mobilnych, które będą łączyły się z Internetem w celu dostarczenia swojej szkodliwej funkcji.

Pojawienie się programu Backdoor.Win32.Skimer było unikatowym wydarzeniem w 2009 roku. Mimo że incydent wywołany tym szkodliwym oprogramowaniem w rzeczywistości miał miejsce pod koniec 2008 roku, został szeroko nagłośniony wiosną 2009 roku. Skimer był pierwszym szkodliwym programem, który atakował bankomaty. Po zainfekowaniu bankomatu przy pomocy specjalnej karty dostępu cyberprzestępcy mogli wykonywać wiele nielegalnych działań: wyciągnąć wszystkie środki z bankomatu lub uzyskać dane z kart wykorzystywanych w bankomacie. Analiza programu pokazała, że program miał na celu atakowanie bankomatów w Rosji i na Ukrainie, ponieważ śledził transakcje w dolarach amerykańskich, rosyjskich rublach oraz ukraińskich hrywnach.

Szkodliwy program mógł przedostać się do bankomatu na dwa sposoby: poprzez fizyczny dostęp do systemu bankomatu lub poprzez wewnętrzną sieć banku. Standardowe rozwiązanie antywirusowe potrafi zwalczać takie zagrożenia. Banki powinny przeprowadzić skanowanie antywirusowe sieci bankomatów.

Prognozy

W 2010 roku najprawdopodobniej pojawią się następujące problemy i zdarzenia:

Nastąpi zmiana wykorzystywanych wektorów ataków - odejście od sieci Web na rzecz sieci wymiany plików. Jest to ostatni krok w łańcuchu ewolucyjnym: w latach 2000 - 2005 ataki były przeprowadzane za pośrednictwem poczty elektronicznej; w latach 2005 - 2006 głównym wektorem ataków był Internet; w latach 2006 - 2009 ataki były przeprowadzane za pośrednictwem stron internetowych (łącznie z portalami społecznościowymi). W 2009 roku masowe epidemie były spowodowane szkodliwymi plikami rozprzestrzenianymi za pośrednictwem stron torentowych. W ten sposób rozprzestrzeniane były nie tylko tak dobrze znane zagrożenia, jak TDSS czy Virut, ale również pierwsze backdoory dla Mac OS. W 2010 roku przewidujemy znaczny wzrost liczby incydentów z udziałem sieci P2P.

  1. Wojna o ruch. Cyberprzestępcy podejmują coraz więcej działań, aby zalegalizować swój biznes, a Internet oferuje wiele możliwości zarobienia pieniędzy poprzez stworzenie dużych ilości ruchu ukierunkowanego. Taki ruch można wygenerować przy użyciu botnetów. O ile obecnie w wojnie o ruch botnetowy uczestniczą tylko grupy przestępcze, wydaje się prawdopodobne, że w przyszłości na takim rynku pojawią się "szare" usługi. Tak zwane "programy stowarzyszone" pozwalają właścicielom botnetów upłynnić swoje aktywa, nawet jeżeli nie są oferowane takie usługi przestępcze, jak spam, ataki DoS czy rozprzestrzenianie szkodliwego oprogramowania.
  2. Epidemie. Podobnie jak wcześniej, główną przyczyną epidemii będzie identyfikowanie luk w zabezpieczeniach. Dotyczy to zarówno oprogramowania producentów innych niż Microsoft (Adobe, Apple), jak również wydanego niedawno systemu Windows 7. Warto zauważyć, że producenci inni niż Microsoft zaczęli ostatnio wkładać więcej wysiłku w identyfikowanie błędów w swoich produktach. Jeżeli nie zostaną zidentyfikowane poważne luki w zabezpieczeniach, pod względem bezpieczeństwa rok 2010 będzie jednym z najspokojniejszych lat w najnowszej historii.
  3. Szkodliwe oprogramowanie będzie coraz bardziej złożone. Obecnie istnieją zagrożenia, które wykorzystują współczesne techniki infekowania plików oraz funkcjonalność rootkita. Wiele rozwiązań antywirusowych nie potrafi wyleczyć systemów zainfekowanych takim szkodliwym oprogramowaniem. Z jednej strony, technologie antywirusowe będą rozwijane w taki sposób, aby przede wszystkim uniemożliwić zagrożeniom przeniknięcie do systemu; z drugiej strony, zagrożenia, które potrafią obejść rozwiązania bezpieczeństwa, będą prawie niezniszczalne.
  4. Nastąpi spadek liczby fałszywych rozwiązań antywirusowych, odzwierciedlający spadek liczby trojanów atakujących gry. Programy te, które po raz pierwszy pojawiły się w 2007 roku, osiągnęły punkt szczytowy w 2009 roku i były związane z liczbą największych epidemii. Rynek fałszywych programów antywirusowych został już nasycony, a zyski osiągane przez cyberprzestępców są nieznaczne. Ponieważ branża antywirusowa i agencje ścigania skupiają się obecnie na fałszywych programach antywirusowych, nie będzie im łatwo przetrwać.
  5. Google Wave i ataki przeprowadzone za pośrednictwem tej usługi będą bez wątpienia gorącym tematem w 2010. Takie ataki będą prawdopodobnie ewoluowały w standardowy sposób, od spamu, po ataki phishingowych, wykorzystywanie luk w zabezpieczeniach, a następnie rozprzestrzenianie szkodliwego oprogramowania. Opublikowanie ChromeOS jest również dość interesujące, istnieje jednak niewielkie prawdopodobieństwo, że w następnym roku cyberprzestępcy skoncentrują swoje wysiłki na tej platformie.
  6. Rok 2010 będzie prawdopodobnie trudny dla takich platform, jak iPhone i Android. Pojawienie się pierwszych zagrożeń atakujących te platformy w 2009 roku pokazuje, że cyberprzestępcy zaczynają badać te platformy i oferowane przez nie możliwości. Jeżeli chodzi o iPhony, zagrożone są tylko te złamane (przy użyciu metody jailbreak), jednak w przypadku Androida nie ma takich ograniczeń, ponieważ mogą zostać zainstalowane aplikacje z dowolnego źródła. Rosnąca popularność telefonów Android w Chinach oraz słaby monitoring opublikowanych aplikacji spowoduje wiele poważnych incydentów wirusowych w 20010 roku.
Źródło:
Kaspersky Lab