Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin: Ewolucja szkodliwego oprogramowania w 2010 roku


Aleksander Gostiew
Ekspert z Kaspersky Lab

ksb_malware_evolution.pngPrzedstawiamy roczny raport dotyczący zagrożeń, przedstawiający główne problemy, z jakimi borykają się zarówno użytkownicy korporacyjni jak i indywidualni w związku z występowaniem szkodliwego oprogramowania, potencjalnie szkodliwych programów, oprogramowania crimeware, spamu, phishingu oraz innych rodzajów aktywności hakerów.

Raport został przygotowany przez Globalny Zespół ds. Badań i Analiz (GReAT) we współpracy z działem Content & Cloud Technology Research oraz Anti-Malware Research z firmy Kaspersky Lab.



2010: Rok luk w zabezpieczeniach Rozliczenie się z prognoz na 2010 rok Wzrost liczby ataków za pośrednictwem sieci P2P (sprawdziło się) Rywalizacja o ruch (sprawdziło się) Epidemie coraz bardziej złożonego szkodliwego oprogramowania (sprawdziło się) Spadek liczby fałszywych programów antywirusowych (sprawdziło się) Ataki na i za pośrednictwem Google Wave (nie sprawdziło się) Ataki na iPhone’a i urządzenia z Androidem (częściowo sprawdziło się) Ukierunkowane ataki na korporacje i przedsiębiorstwa przemysłowe Certyfikaty cyfrowe Główne incydenty i wydarzenia roku Aurora Trojany, których celem jest wyłudzanie Stuxnet TDSS Liczne incydenty na Twitterze i Facebooku Aresztowania cyberprzestępców i zamknięcia botnetów Prognozy na 2011 rok Cyberataki w 2011 r.: kradzież wszystkiego, co się da Metody Nowi organizatorzy i nowe cele Spyware 2.0 Zagrożenia, na które powinniśmy uważać w 2011 roku 2010: Rok luk w zabezpieczeniach Pod względem ewolucji szkodliwego oprogramowania rok 2010 prawie nie różnił się od poprzedniego. Ogólnie rzecz biorąc, ani trendy, ani cele ataków nie zmieniły się znacząco, mimo że wiele wykorzystywanych technologii poszło daleko naprzód. Od 2009 roku miesięczne współczynniki wykrywania zagrożeń cechuje stosunkowa stabilność. Mimo to można zauważyć spadek aktywności pewnych rodzajów szkodliwego oprogramowania. Trend w kierunku stabilnego „przepływu” szkodliwego oprogramowania znalazł odzwierciedlenie w naszym raporcie za 2009 rok. Przyczyny pozostają takie same: spadek aktywności niektórych trojanów, w szczególności trojanów, których celem są gry, oraz działania organów ścigania, producentów rozwiązań antywirusowych oraz dostawców usług telekomunikacyjnych wymierzone przeciwko nielegalnym usługom oraz gangom cyberprzestępców. Innym czynnikiem jest stosunkowo stała liczba krążących szkodliwych programów oraz przewidywany przez nas spadek liczby fałszywych programów antywirusowych. Liczba próbek szkodliwego oprogramowania w kolekcji Kaspersky Lab Jednak to, że liczba nowych szkodliwych programów pozostaje na stałym poziomie, nie oznacza stabilizacji pod względem liczby ataków. Po pierwsze, szkodliwe oprogramowanie staje się coraz bardziej złożone, co widać nawet z roku na rok. Po drugie, cyberprzestępcy atakują komputery za pośrednictwem wielu luk w zabezpieczeniach przeglądarek oraz będących z nimi w interakcji aplikacji innych producentów. W efekcie, ten sam szkodliwy program często może rozprzestrzeniać się poprzez dziesięć różnych luk, co prowadzi do proporcjonalnego wzrostu liczby ataków. Wszystkie zarejestrowane ataki można podzielić na 4 główne typy: Ataki za pośrednictwem Internetu (wykrywane przez moduł ochrony WWW); Lokalne incydenty (wykrywane na komputerach użytkowników); Ataki sieciowe (wykrywane przez IDS); Incydenty e-mail. W 2010 roku - po raz pierwszy od czasu, gdy rozpoczęliśmy nasze obserwacje - całkowita liczba zarejestrowanych incydentów przekroczyła 1,5 miliarda! Ataki za pośrednictwem przeglądarek stanowiły ponad 30% tych incydentów, tj. ponad 500 milionów zablokowanych ataków. Problem luk tak naprawdę wysunął się na pierwszy plan w 2010 roku. Ich wykorzystywanie stało się główną metodą przenikania do komputerów użytkowników, przy czy pod względem popularności wśród cyberprzestępców luki w produktach Microsoftu szybko ustępują lukom w produktach firmy Adobe i Apple, takim jak Safari, QuickTime oraz iTunes. Takie ataki są przeprowadzane przy użyciu zestawu exploitów stworzonych dla różnych luk w przeglądarkach oraz przeznaczonych dla nich wtyczek. W 2010 roku exploity na luki w aplikacjach firmy Adobe stanowiły absolutnego lidera pod względem liczby odnotowanych incydentów spowodowanych wykorzystaniem luk. O ile w przeszłości cyberprzestępcy wykorzystywali luki w zabezpieczeniach przeważnie na wczesnym etapie przenikania do systemu, w 2010 roku wykryto kilka szkodliwych programów, które wykorzystują różne luki na wszystkich etapach swojego działania. Niektóre z nich, na przykład Stuxnet, wykorzystują również luki “zero-day”./p> Rozliczenie się z prognoz na 2010 rok Wiele z prognoz sformułowanych w naszym raporcie dotyczącym 2009 roku sprawdziło się w 2010 roku. Jednak niektóre incydenty okazały się nieprzyjemną niespodzianką dla każdego. Jeżeli chodzi o nasze przewidywania dotyczące potencjalnych trendów w rozwoju oprogramowania crimeware oraz rodzajów ataków, większość z nich okazała się słuszna. Wzrost liczby ataków za pośrednictwem sieci P2P (sprawdziło się) Nie będzie przesadą stwierdzenie, że sieci P2P stanowią obecnie główny kanał przenikania szkodliwego oprogramowania do komputerów użytkowników. Pod względem współczynników incydentów naruszenia bezpieczeństwa, ten wektor infekcji ustępuje jedynie atakom za pośrednictwem przeglądarek. Praktycznie wszystkie rodzaje zagrożeń, łącznie z wirusami plikowymi, fałszywymi programami antywirusowymi, backdoorami i różnymi robakami, rozprzestrzeniają się za pośrednictwem sieci P2P. Co więcej, sieci te szybko stają się środowiskiem sprzyjającym rozprzestrzenianiu nowych zagrożeń, takim jak ArchSMS. Wzrost aktywności cyberprzestępczej w sieciach P2P potwierdzają również dane pochodzące z innych firm IT. Na przykład, z raportu firmy Cisco dotyczącego zagrożeń w drugim kwartale 2010 roku wynika, że liczba ataków przeprowadzanych za pośrednictwem trzech najpopularniejszych sieci P2P, BitTorrent, eDonkey i Gnutella, gwałtownie wzrosła. Epidemia szkodliwego oprogramowania P2P rozpoczęła się w marcu, gdy liczba incydentów wykrytych przez Kaspersky Security Network po raz pierwszy przekroczyła próg 2,5 miliona miesięcznie. Według ostrożnych szacunków, pod koniec roku miesięczna liczba ataków stanowiła blisko 3,2 miliona. Warto wyjaśnić, że wskaźniki te dotyczą tylko szkodliwych programów takich jak robaki, które rozprzestrzeniają się za pośrednictwem sieci P2P. Liczba trojanów i wirusów wykrywanych w sieciach P2P jest znaczna – dlatego całkowita liczba incydentów może wynosić nawet 10 milionów miesięcznie. Rywalizacja o ruch (sprawdziło się) Tak zwane programy partnerskie pozostały główną metodą współpracy między grupami cyberprzestępczymi, które tworzą nowe botnety, zarządzają istniejącymi i decydują o nowych celach dla swoich tworów. W 2010 roku działało wiele różnych na wpół legalnych programów zarabiania pieniędzy, które istniały obok jawnie przestępczych działań, takich jak infekowanie legalnych stron internetowych czy infekowanie komputerów użytkowników poprzez ataki “drive-by download”. Działalność uczestników tych programów obejmowała nakłanianie użytkowników do dobrowolnego pobierania plików, wykorzystywanie porwanych zasobów do Black SEO, rozprzestrzenianie przykuwających uwagę odsyłaczy, dystrybucję oprogramowania adware i przekierowywanie ruchu na strony zawierające treści dla dorosłych. Więcej o tym, jak działają “programy partnerskie”, można przeczytać w artykule: ‘Niebezpieczeństwa Internetu’. Epidemie coraz bardziej złożonego szkodliwego oprogramowania (sprawdziło się) W 2010 roku nie odnotowano żadnych epidemii porównywalnych do epidemii robaka Kido (Conficker) z 2009 roku pod względem prędkości rozprzestrzeniania się, liczby zainfekowanych użytkowników oraz wywołanego zainteresowania. Gdy jednak rozpatrzymy oddzielnie te trzy czynniki, okaże się, że w 2010 roku miały miejsce infekcje, które można sklasyfikować jako globalne epidemie. Botnety Mariposa, ZeuS, Bredolab, TDSS, Koobface, Sinowal oraz Black Energy 2.0 przyciągnęły uwagę zarówno dziennikarzy jak i analityków w 2010 roku. Każdy atak obejmował miliony zainfekowanych komputerów zlokalizowanych na całym świecie. Co więcej, zagrożenia te zaliczają się do najbardziej zaawansowanych i wyrafinowanych szkodliwych programów, jakie kiedykolwiek zostały stworzone. Szkodniki te rozprzestrzeniały się za pośrednictwem wszystkich istniejących wektorów infekcji, łącznie z pocztą e-mail. Stanowiły pionierów w sieciach P2P, a niektóre z nich były pierwszymi szkodnikami, które zainfekowały platformy 64-bitowe, z czego wiele wykorzystywało luki zero-day. Kreatywność twórców szkodliwego oprogramowania osiągnęła wyżyny w przypadku prawdziwie rewolucyjnego robaka Stuxnet. Eksperci potrzebowali ponad trzech miesięcy, aby w pełni przeanalizować to zagrożenie jak również zrozumieć jego funkcjonalność i działanie poszczególnych komponentów. Stuxnet trafił do czołówek portali o tematyce cyberbezpieczeństwa w drugiej połowie 2010 roku, pozostawiając daleko w tyle wszystkie znane szkodliwe programy pod względem liczby wygenerowanych publikacji. Obecnie możemy wyróżnić następujący trend - najbardziej rozpowszechnione szkodliwe programy są jednocześnie najbardziej wyrafinowane. To podnosi poprzeczkę dla producentów produktów bezpieczeństwa, którzy toczą wojnę technologiczną z cyberprzestępcami. Obecnie nie wystarczy już, że oprogramowanie potrafi zidentyfikować dziewięćdziesiąt dziewięć procent z milionów istniejących szkodliwych programów, jeśli pominie lub nie wyleczy jednego zagrożenia, które jest niezwykle wyrafinowane, a przez to szeroko rozpowszechnione. Spadek liczby fałszywych programów antywirusowych (sprawdziło się) Prognoza ta była dość kontrowersyjna – opinie w tej kwestii były podzielone, nawet wśród ekspertów z Kaspersky Lab. W grę wchodziło wiele dodatkowych czynników: to, czy właściciele i uczestnicy programów partnerskich poszukają innych metod zarabiania pieniędzy, jakie działania podejmą firmy antywirusowe oraz organy ścigania, jak również istnienie silnej konkurencji pomiędzy różnymi grupami cyberprzestępczymi zajmującymi się tworzeniem i rozprzestrzenianiem fałszywych programów antywirusowych. Statystyki zgromadzone przez KSN wskazują na globalny spadek liczby fałszywych programów antywirusowych. Największa aktywność fałszywych programów antywirusowych, około 200 000 incydentów miesięcznie, przypadła na okres luty – marzec 2010 r., jednak pod koniec 2010 roku ich liczba zmniejszyła się czterokrotnie. Jednocześnie istniejące fałszywe programy antywirusowe dążą do zawężania stref swoich ataków do określonych regionów, a cyberprzestępcy przestają rozprzestrzeniać je w sposób przypadkowy i zamiast tego skupiają się na określonych krajach, takich jak Stany Zjednoczone, Francja, Niemcy czy Hiszpania. Ataki na i za pośrednictwem Google Wave (nie sprawdziło się) Rok temu przewidywaliśmy ataki na Google Wave i jego klientów. Jednak projekt ten został zarzucony przez Google mniej więcej w połowie 2010 roku, zanim zgromadził krytyczną masę użytkowników i zaczął działać na pełnych obrotach. Dlatego nasza prognoza nie miała szansy sprawdzić się. Ataki na iPhone’a i urządzenia z Androidem (częściowo sprawdziło się) W 2009 roku wykryto pierwsze szkodliwe oprogramowanie dla iPhone’a oraz program spyware dla Androida. Przypuszczaliśmy, że cyberprzestępcy w większym stopniu skupią się na tych dwóch platformach. W 2010 roku nie miały miejsca żadne znaczące ataki szkodliwego oprogramowania na iPhone’a, porównywalne z incydentem wywołanym przez robaka Ike w 2009 roku. Powstało jednak kilka programów koncepcyjnych dla tej platformy, tj. demonstrujących techniki, które mogły być wykorzystane przez cyberprzestępców. Doskonałym przykładem takiej techniki był ‘SpyPhone’ - dzieło szwajcarskiego badacza. Program ten umożliwia nieautoryzowany dostęp do informacji o iPhonie użytkownika, jego lokalizacji, zainteresowaniach, przyjaciołach, preferowanych aktywnościach, hasłach oraz historii wyszukiwania. Dane te mogą następnie zostać wysłane do zdalnego serwera bez wiedzy oraz zgody użytkownika. Funkcja ta może być ukryta w z pozoru niewinnej aplikacji. W przeszłości do grupy ryzyka należeli – według ekspertów - użytkownicy iPhonów, którzy dokonywali tzw. jailbreaka w celu zainstalowania aplikacji osób trzecich. Obecnie ryzykują nawet ci, którzy instalują aplikacje z oficjalnego sklepu Apple. W 2010 roku miało miejsce kilka incydentów dotyczących legalnych aplikacji firmy Apple – wykryto aplikacje dla iPhone’a, które ukradkiem gromadziły dane i wysyłały je producentom oprogramowania. Wszystko to, o czym pisaliśmy wyżej, odnosi się również do platformy Android. Zidentyfikowano szkodliwe oprogramowanie dla Androida o wyraźnie cyberprzestępczym charakterze, które wykorzystuje popularną technikę stosowaną przez trojany dla telefonów komórkowych, a polegającą na wysyłaniu SMS-ów na numery o podwyższonej opłacie. Trojan-SMS.AndroidOS.FakePlayer został wykryty przez firmę Kaspersky Lab we wrześniu 2010 roku, stając się pierwszym prawdziwym przykładem szkodliwego oprogramowania dla Androida – najwyraźniej stworzonym przez rosyjskich twórców wirusów. Szkodnik ten był rozprzestrzeniany bardziej za pośrednictwem zainfekowanych stron internetowych niż sklepu Android Market. Niepokoi nas fakt, że wiele legalnych aplikacji może prosić o i uzyskać dostęp do osobistych danych użytkownika, jak również o pozwolenie na wysyłanie SMS-ów i wykonywanie połączeń telefonicznych. Według nas podważa to wiarygodność całej koncepcji bezpieczeństwa Androida. Na tym kończymy podsumowanie naszych prognoz oraz rozliczenie ich. Teraz przyjrzymy się niektórym trendom oraz konkretnym incydentom, które miały znaczący wpływ na obszar bezpieczeństwa IT w 2010 r. Ukierunkowane ataki na korporacje i przedsiębiorstwa przemysłowe Atak znany jako Aurora dotknął wiele dużych firm zlokalizowanych na całym świecie, łącznie z firmą Google, która była uważana za jego główny cel. Incydent ten wydobył na światło dzienne poważne luki i ujawnił potencjalne cele osób atakujących, które obejmowały cyberszpiegostwo oraz kradzież poufnych danych handlowych. Przyszłe ataki ukierunkowane będą prawdopodobnie miały podobne cele. Historia Stuxneta, o którym wspomnieliśmy powyżej, jest niezwykła z dwóch względów. Po pierwsze, poziom wyrafinowania tego szkodnika pobił wszystkie wcześniejsze rekordy, po drugie, stworzono go z myślą o atakach na programowalne sterowniki logiczne (ang. PLS). PLC to komercyjne urządzenia sterujące zwykle znajdujące zastosowanie w przemyśle. Jak dotąd jest to pierwszy przypadek przemysłowego cybersabotażu, który zyskał tak wielki rozgłos. Tego rodzaju ataki mogą wyrządzić znaczące szkody fizyczne. Prowokują również do zastanowienia się nad przyszłością świata cybernetycznego. W zawiązku z zanikiem granicy pomiędzy światem wirtualnym a realnym powstają nowe problemy, z którymi w niedalekiej przyszłości będzie musiała się zmierzyć cała społeczność cybernetyczna. Certyfikaty cyfrowe Cyfrowe certyfikaty i podpisy to jedne z filarów, na których opiera się pewność i gwarancja w świecie komputerowym. Naturalnie cyfrowe podpisy odgrywają ważną rolę w rozwoju produktów bezpieczeństwa: pliki podpisane przez zaufanych producentów są uważane jako „czyste”. Technologia ta pomaga producentom produktów bezpieczeństwa zmniejszyć współczynnik fałszywych trafień i oszczędzić zasoby podczas skanowania komputerów użytkowników w celu wykrycia infekcji. Wydarzenia z 2010 roku pokazały, że cyberprzestępcy potrafią legalnie uzyskać certyfikaty cyfrowe - tak jak każdy producent oprogramowania. W jednym przypadku uzyskano certyfikat dla programu, który udawał “oprogramowanie do zdalnego zarządzania komputerami nieposiadającymi interfejsu graficznego”, podczas gdy w rzeczywistości program ten był backdoorem. Sztuczka ta jest niezwykle przydatna dla cyberprzestępców, ponieważ uniemożliwia wykrycie szkodliwego oprogramowania, i najczęściej jest wykorzystywana w oprogramowaniu adware, riskware oraz fałszywych programach antywirusowych. Po uzyskaniu klucza certyfikatu cyberprzestępca może łatwo wyposażyć każdy stworzony przez siebie szkodliwy program w podpis cyfrowy. W efekcie cała koncepcja certyfikatów oprogramowania jako metody zapewnienia cyberbezpieczeństwa została poważnie podważona. Może to mieć dalsze konsekwencje w postaci zdyskredytowania niektórych centrów certyfikacji cyfrowej, których liczba wynosi obecnie kilkaset. W najgorszym przypadku mogą wyłonić się centra certyfikacji kontrolowane przez samych cyberprzestępców. Certyfikat cyfrowy, lub mówiąc technicznie, zawarty w nim klucz prywatności, to fizyczny plik, który potencjalnie może zostać skradziony, podobnie jak każdy inny zasób cyfrowy. Wykryte komponenty Stuxneta zostały podpisane certyfikatami wydanymi dla Realtec Semiconductors oraz JMicron. Nie wiadomo, jak klucz prywatności wpadł w ręce cyberprzestępców. Mogło to się zdarzyć na kilka sposobów. Cyberprzestępcy mogli zdobyć te pliki, kupując je nielegalnie od tzw. „insiderów”, czyli osób znajdujących się wewnątrz firmy, lub kradnąc przy użyciu backdoora lub podobnego szkodnika. Do takiej kradzieży certyfikatów byłby zdolny na przykład Zbot, znany również jako ZeuS. Główne incydenty i wydarzenia roku Aurora Atak Aurora miał miejsce na początku 2010 roku i zwrócił uwagę zarówno ekspertów ds. bezpieczeństwa jak i mediów. Jego ofiarą padło wiele dużych firm, łącznie z Google i Adobe. Oprócz poufnych informacji użytkowników stojący za tym atakiem cyberprzestępcy planowali również zdobycie kodów dotyczących wielu projektów firmowych. Atak wykorzystywał lukę CVE-2010-0249 w przeglądarce Internet Explorer, dla której nie istniała jeszcze łata. Tak więc Aurora jest kolejnym doskonałym przykładem wykorzystania luki zero-day. Trojany, których celem jest wyłudzanie Na początku i w połowie 2010 roku użytkowników z Rosji oraz kilku innych byłych republik Związku Radzieckiego dotknęła fala infekcji spowodowanych przez różne warianty blokerów SMS – jedne z dominujących zagrożeń tego okresu. Jak działały te programy? Po uruchomieniu się na komputerze ofiary szkodnik, który rozprzestrzeniał się przy użyciu różnych metod, łącznie z wykorzystaniem popularnych rosyjskich portali społecznościowych, ataków drive-by download oraz sieci P2P, blokował system operacyjny atakowanej maszyny lub dostęp do Internetu oraz domagał się od użytkownika wysłania wiadomości SMS na numer o podwyższonej opłacie w celu otrzymania “kodu odblokowującego”. Skala problemu okazała się tak duża, a liczba ofiar tak znaczna, że w całą sprawę zaangażowały się organy ścigania, a rozwój wypadków relacjonowały rosyjskie media, od telewizji po blogosferę. Operatorzy telefonii komórkowej robili co mogli, aby zlikwidować to zagrożenie, wprowadzając nowe zasady dotyczące rejestrowania i wykorzystywania krótkich numerów (o podwyższonej opłacie), blokując konta, które zostały wykorzystane do przeprowadzania oszustw, oraz informując klientów o tego typu oszustwach SMS. Pod koniec sierpnia w Moskwie aresztowano kilka osób oskarżonych o tworzenie blokerów SMS. Według szacunków rosyjskiego Ministerstwa Spraw Wewnętrznych, nielegalne dochody wygenerowane przez tą grupę cyberprzestępczą wynosiły 500 milionów rubli (około 12,5 miliona euro). Jednak nie ma co liczyć na to, że problem zniknie. Cyberprzestępcy stosują teraz inne metody pozwalające im otrzymywać zapłatę za “odblokowanie” komputerów swoich ofiar, takie jak na przykład elektroniczne systemy płatności lub terminale płatnicze. Co więcej, pod koniec roku zarejestrowano nowe incydenty dotyczące trojanów szyfrujących, podobnych do Gpcode’a. Trojany te szyfrują dane przy użyciu mocnych algorytmów, takich jak RSA i AES, a następnie żądają zapłaty za przywrócenie danych. Stuxnet Pod względem znaczenia dla branży wykrycie robaka Stuxnet latem 2010 roku okazało się najistotniejszym wydarzeniem roku – i nie tylko tego roku. Już pobieżna analiza tego robaka ujawnia dwa główne czynniki, które wymagają dokładnego zbadania. Po pierwsze, od samego początku było jasne, że szkodnik ten wykorzystuje lukę zero-day w systemie Windows związaną z nieprawidłowym przetwarzaniem plików LNK (CVE-2010-2568), która może zostać wykorzystana do uruchomienia szkodliwych plików z wymiennych dysków USB. Dziura ta szybko wzbudziła zainteresowanie również innych cyberprzestępców: wykorzystujące ją szkodliwe programy zostały wykryte już w lipcu. A konkretnie, exploity na tę lukę były wykorzystywane do rozprzestrzeniania robaka Sality oraz Zbota (ZeuS). W samym tylko trzecim kwartale 6% użytkowników KSN padło ofiarą ataków, w których wykorzystywano exploity na lukę CVE-2010-2568. Po drugie, robak wykorzystywał legalne certyfikaty cyfrowe wydane dla Realtek. Wspominaliśmy o tym w sekcji dotyczącej Certyfikatów cyfrowych. Co więcej, jeden ze szkodliwych komponentów Stuxneta podpisany był certyfikatem JMicron, jednak nikt nigdy nie próbował śledzić oryginalnego źródła, lub “droppera”, który instalował ten komponent. Pochodzenie komponentu to kolejna biała plama w historii Stuxneta. Dalsza analiza robaka ujawniła trzy kolejne exploity zero-day dla systemu Windows. Jeden z nich był odpowiedzialny za rozprzestrzenianie robaka poprzez lokalne sieci LAN i wykorzystywał lukę w usłudze współdzielenia drukarki systemu Windows. Luka ta została wykryta przez ekspertów Kaspersky Lab, a Microsoft opublikował dla niej łatę we wrześniu 2010 roku. Robak wykorzystywał dwie kolejne luki – w komponencie win32k.sys oraz w usłudze Harmonogram Zadań – które pozwalały mu na zwiększenie swoich przywilejów. Pewną rolę w wykryciu pierwszej z tych dwóch luk odegrali eksperci z Kaspersky Lab. Jednak mimo że Stuxnet wykorzystuje pięć luk w zabezpieczeniach oraz lukę w oprogramowaniu WinCC Siemensa związaną z domyślnymi hasłami dostępu, wykorzystywanie luk nie jest najbardziej niezwykłą właściwością robaka. Szkodnik ten celuje w systemy posiadające określoną konfigurację - SIMATIC WinCC/PCS7 – i, co jest sednem sprawy, atakuje określone modele programowalnych sterowników logicznych oraz konwerterów częstotliwości określonych producentów. Zainstalowana przez robaka biblioteka DLL przechwytuje niektóre z funkcji systemowych i przez to może mieć wpływ na działanie systemów kontroli, które zarządzają działaniem pewnych urządzeń przemysłowych. Głównym celem robaka jest zakłócenie logiki sterowników wykorzystywanych przez konwertery częstotliwości. Sterowniki te służą do dostosowywania częstotliwości obrotów niezwykle szybkich silników, które posiadają bardzo ograniczony zakres zastosowań – jednym z nich jest napędzanie wirówek. TDSS TDSS znacząco wyróżniał się na tle “konwencjonalnego” szkodliwego oprogramowania w 2010 roku. Stosujemy tutaj termin “konwencjonalny” z powodu wyłonienia się robaka Stuxnet, który bez wątpienia stanowi całkowicie nowe zjawisko na scenie szkodliwego oprogramowania i po prostu nie mógł zostać stworzony przez cyberprzestępców o przeciętnych umiejętnościach. Backdoor TDSS był przedmiotem wielu naszych analiz opublikowanych w latach 2009-2010. Podobne zainteresowanie wykazali eksperci z innych firm antywirusowych. Łatwo to wyjaśnić: z wyjątkiem Stuxneta TDSS jest obecnie najbardziej wyrafinowanym szkodliwym programem. Poza tym, że jest nieustannie aktualizowany – z uwzględnieniem nowych metod maskowania obecności w systemie – jego autorzy wykorzystują również różne luki w zabezpieczeniach - zarówno luki zero-day jak i te, dla których opublikowano łaty. Najistotniejszym usprawnieniem w TDSS w 2010 roku była implementacja obsługi 64-bitowego systemu operacyjnego. Modyfikacja ta została wykryta w sierpniu i została oznaczona wewnętrznym numerem TDL-4. W celu obejścia wbudowanej w system Windows ochrony autorzy TDSS wykorzystywali technikę infekowania sektora MBR, podobną do tej zastosowanej przez innego trojana - Sinowala. Jeżeli MBR zostanie skutecznie zainfekowany, wykonanie szkodliwego kodu nastąpi przed uruchomieniem się systemu operacyjnego. Następnie szkodnik może zmodyfikować parametry uruchomieniowe w taki sposób, aby niepodpisane sterowniki mogły zostać zarejestrowane w systemie. Aplikacja ładująca rootkita wykrywa typ systemu - 32- lub 64-bitowy – w którym będzie działało szkodliwe oprogramowanie, wczytuje kod sterownika do pamięci i rejestruje sterownik w systemie. Następnie uruchamiany jest system operacyjny, do którego został już wstrzyknięty szkodliwy kod. Istotne jest to, że rootkit nie modyfikuje struktur jądra, które są chronione przez PatchGuard, inną technologię wbudowaną w system operacyjny. Microsoft nie uznał tego problemu za krytyczny i nie zaklasyfikował go jako lukę w zabezpieczeniach, ponieważ trojan ten musiał już posiadać przywileje administratora, aby zapisać swój kod do MBR-a. TDSS zdobywa takie przywileje przy użyciu nieustannie udoskonalanych metod. Na początku grudnia odkryliśmy, że wykorzystuje w tym celu dodatkową lukę zero-day – lukę w usłudze Harmonogram Zadań, która została po raz pierwszy wykorzystana przez Stuxneta i doczekała się łatki od Microsoftu w połowie grudnia 2010 roku. Liczne incydenty na Twitterze i Facebooku Dwa z najpopularniejszych i najszybciej rozwijających się portali społecznościowych stanowiły cele licznych ataków w 2010 roku. Portale społecznościowe stały się środowiskiem dystrybucji szkodliwego oprogramowania, w dużej mierze dzięki wykryciu w nich luk w zabezpieczeniach, które znacznie ułatwiają to zadanie. Spośród szkodliwych programów najaktywniejsze były liczne warianty robaka Koobface. Szkodniki te atakowały głównie Twittera, wykorzystując następnie zainfekowane konta na tym portalu do rozsyłania odsyłaczy do trojanów. Skuteczność dystrybucji za pośrednictwem portali społecznościowych potwierdzają następujące statystyki: tylko w jednym niewielkim ataku na Twittera ponad 2 000 użytkowników kliknęło szkodliwy odsyłacz w ciągu jednej godziny. W maju na Twitterze miał miejsce znaczący incydent związany z popularnością iPhone’a. 19 maja administratorzy tego portalu oficjalnie poinformowali o publikacji nowej aplikacji o nazwie ‘Twitter for iPhone’. Cyberprzestępcy postanowili wykorzystać falę dyskusji, jaką wywołał ten news. Niecałą godzinę od ujawnienia informacji o pojawieniu się nowej aplikacji Twitter pękał w szwach od wiadomości zawierających słowa “twitter iPhone application” oraz odnośniki prowadzące do robaka Worm.Win32.VBNA.b. Co więcej, niektórzy twórcy szkodliwego oprogramowania wykorzystywali Twittera w celu generowania nazw nowych domen dla centrów kontroli botnetów. Cyberprzestępcy aktywnie wykorzystywali kilka luk XSS zidentyfikowanych na Twitterze. Szczególnie istotne były ataki przeprowadzone we wrześniu. Polegały na infekowaniu tego portalu społecznościowego kilkoma robakami XSS, które potrafiły rozprzestrzeniać się bez interakcji użytkownika: wystarczyło jedynie otworzyć zainfekowaną wiadomość. Według naszych szacunków, ofiarą tych ataków padło ponad pół miliona użytkowników Twittera. W maju pojawił się nowy rodzaj ataków na Facebooka, wykorzystujący nowo wprowadzoną funkcję “Like” (Lubię to). Jak można się łatwo domyślić, funkcja ta pozwala stworzyć listę rzeczy, które lubi właściciel konta na Facebooku. Tysiące użytkowników padło ofiarą ataku, który zyskał nazwę “Likejacking” (nazwa jest grą słów i nawiązuje do terminu “Clickjacking”). Atak polegał na umieszczeniu przykuwającego uwagę odsyłacza na Facebooku, np. “World Cup 2010 in HD” lub “101 Hottest Women in the World”. Odsyłacz prowadził do specjalnie stworzonej strony internetowej, na której kod JavaScript umieszczał niewidzialny przycisk “Like” w miejscu, w którym znajdował się kursor. Przycisk podążał za kursorem i rejestrował każde wciśnięcie niezależnie od tego, co w rzeczywistości klikał użytkownik. W efekcie, kopia odsyłacza była dodawana na Tablicy użytkownika, a jego znajomi dowiadywali się, że użytkownik lubi ten odsyłacz. Atak ten miał efekt śnieżnej kuli: odsyłacz był klikany przez przyjaciół, następnie przyjaciół przyjaciół i tak dalej. Po dodaniu odsyłacza do Tablicy użytkownik był przekierowywany na stronę zawierającą reklamowane informacje, takie jak zdjęcia dziewczyn. Celem tego ataku było oszustwo: strona zawierała również niewielki kod JavaScript wykorzystywany do kampanii reklamowej, z której cyberprzestępcy uzyskiwali niewielką sumę za każdym razem, gdy użytkownik został przekierowany na stronę. Aresztowania cyberprzestępców i zamknięcia botnetów W latach 2008-2009 sukcesem zakończyły się działania przeciwko nielegalnym firmom i usługom hostingowym podejmowane przez organy ścigania i inne, dostawców usług telekomunikacyjnych oraz branżę antywirusową. Pierwszy krok został poczyniony w 2008 roku, gdy zamknięto takie serwisy jak McColo, Atrivo oraz EstDomains. W 2009 roku podjęto dalsze działania, w wyniku których do zaprzestania swojej działalności zostały zmuszone McColo, Atrivo oraz EstDomains. Na początku 2010 roku usunięto niektóre serwery kontroli wykorzystywane przez botnet stworzony przez robaka Email-Worm.Win32.Iksmas, znanego również jako Waledac. Botnet ten był znany z przeprowadzanych na dużą skalę ataków spamowych, w których każdego dnia wysyłanych było do 1,5 miliarda wiadomości spamowych stosujących przykuwające uwagę newsy w celu przekonania użytkowników do kliknięcia odsyłaczy, prowadzących między innymi do szkodliwego oprogramowania o nazwie Iksmas. Szkodnik ten wykorzystywał polimorfizm po stronie serwera bota w oparciu o technologię fast-flux. Latem hiszpańska policja aresztowała właścicieli jednego z większych botnetów - Mariposa. Botnet ten został stworzony przy użyciu robaka P2P-Worm.Win32.Palevo. Szkodnik ten rozprzestrzenia się przy użyciu sieci P2P, komunikatorów internetowych oraz funkcji autorun, która uruchamia pliki wykonywalne zlokalizowane na dowolnym urządzeniu przenośnym, takim jak aparaty cyfrowe czy pamięci USB. Główną metodą zarabiania na robaku Palevo było sprzedawanie i wykorzystywanie poufnych informacji o użytkowniku gromadzonych z zainfekowanych maszyn, w szczególności loginów i haseł do bankowości online oraz różnych innych usług. Następnie w Słowenii aresztowano cztery osoby, oskarżone o stworzenie szkodliwego kodu robaka na zamówienie hiszpańskich “klientów”. Zgodnie z szacunkami ekspertów, botnet Mariposa mógł liczyć 12 milionów maszyn, stanowiąc jeden z największych botnetów w historii Internetu. Wiosną aresztowano członka gangu o nazwie ‘RBS hack’, który został skazany we wrześniu. W 2009 roku w mediach głośno było o kradzieży ponad 9 milionów dolarów z bankomatów zlokalizowanych na całym świecie. Chociaż przestępstwo to było poważne, a skradziona kwota spora, sąd w Petersburgu skazał sprawców na 6 lat więzienia w zawieszeniu. Kolejny członek gangu został aresztowany w Estonii i poddany ekstradycji do Stanów Zjednoczonych, gdzie obecnie czeka na wyrok. Następnie aresztowano dwóch kolejnych członków gangu, jednego we Francji, drugiego w Rosji. Jesienią miały miejsce masowe aresztowania cyberprzestępców związanych z tworzeniem ZeuSa. Pod koniec września w Stanach Zjednoczonych aresztowano dwadzieścia osób z Rosji, Ukrainy i innych państw Europy Wschodniej. Osoby te pełniły funkcję tzw. mułów pieniężnych biorących udział w procederze prania brudnych pieniędzy, tj. pieniędzy skradzionych przy użyciu trojana. W tym samym czasie pod podobnymi zarzutami aresztowano grupę osób w Wielkiej Brytanii. Niedługo po tych zdarzeniach domniemany autor ZeuSa ogłosił na wielu forach odwiedzanych przez rosyjskojęzycznych cyberprzestępców, że “odchodzi z biznesu” i przekazuje kod źródłowy trojana oraz jego moduły innemu twórcy. W połowie października zamknięto kolejny znany botnet, tym razem stworzony przy użyciu trojana Bredolab. W rzeczywistości działało kilka botnetów, a nie tylko jeden, kontrolowanych z ponad stu serwerów kontroli. Wszystkie z nich zostały zamknięte w wyniku operacji przeprowadzonej wspólnie przez oddziały do zwalczania cyberprzestępczości internetowej policji holenderskiej oraz francuskiej. W momencie zamknięcia największa gałąź botnetu obejmowała ponad 150 000 zainfekowanych maszyn. Właścicielem botnetu okazał się Ormianin. Osoba ta pozostawała przez kilka miesięcy pod obserwacją policji, zanim, po przybyciu z Moskwy, została aresztowana na lotnisku Yerevan. Jest podejrzewana o prowadzenie nielegalnego biznesu z innymi cyberprzestępcami w Rosji. Istnieją dowody na to, że prowadziła działalność cyberprzestępczą od ponad 10 lat i odpowiada za wiele przeprowadzonych na dużą skalę ataków DDoS oraz wysyłek spamowych. Innym źródłem jej nielegalnych dochodów było wydzierżawianie lub sprzedaż części botnetu innym przestępcom. Prognozy na 2011 rok Cyberataki w 2011 r.: kradzież wszystkiego, co się da Aby lepiej zrozumieć, co nas czeka w 2011 roku w obszarze zagrożeń IT, musimy podzielić potencjalne zagrożenia na trzy osobne kategorie. W dalszej części zajmiemy się analizą celów cyberataków, przyjrzymy się metodom ich przeprowadzania oraz zastanowimy się, kim są ich organizatorzy. W poprzednich prognozach badaliśmy tylko stosowane metody, np. ataki na platformy mobilne, wykorzystywanie luk w zabezpieczeniach itd. Działo się tak dlatego, że przez ostatnie kilka lat sprawcami takich ataków zawsze byli cyberprzestępcy, a ich celem – korzyści finansowe. Jednak w 2011 roku możemy być świadkami znaczącej zmiany, głównie w strukturze organizatorów ataków oraz ich celów. Zmiany te będą szły w parze z zanikiem szkodliwego oprogramowania pisanego przez tzw. dzieciaki skryptowe, których głównym celem było pochwalenie się umiejętnościami w zakresie tworzenia wirusów, a których wysiłki zwiastowały erę cyberprzestępczości. Jednak w 2011 roku możemy być świadkami znaczącej zmiany, głównie w strukturze organizatorów ataków oraz ich celów. Zmiany te będą szły w parze z zanikiem szkodliwego oprogramowania pisanego przez tzw. dzieciaki skryptowe, których głównym celem było pochwalenie się umiejętnościami w zakresie tworzenia wirusów, a których wysiłki zwiastowały erę cyberprzestępczości. Metody Warto nadmienić, że metody wykorzystywane do przeprowadzania cyberatków nie zależą od tego, kto je organizuje lub jakie są ich cele; raczej determinują je możliwości techniczne dzisiejszych systemów operacyjnych, Internet i jego usługi, nie mówiąc już o urządzeniach wykorzystywanych w pracy oraz w innych obszarach życia codziennego. O ile rok 2010 można określić jako “Rok luk w zabezpieczeniach”, rok 2011 zapowiada się jeszcze gorzej. Wzrost liczby szkodliwych exploitów wykorzystujących błędy w programowaniu będzie spowodowany nie tylko wykrywaniem nowych luk w popularnych rozwiązaniach takich firm jak Microsoft, Adobe czy Apple. Istotnym czynnikiem będzie również szybkość reakcji cyberprzestępców na takie luki. W 2010 roku wykorzystywanie luk zero-day stało się powszechne, mimo że jeszcze kilka lat wcześniej nic tego nie zapowiadało. Niestety, trend ten utrzyma się, a wręcz zagrożenia zero-day staną się jeszcze bardziej rozpowszechnione. Co więcej, luki pozwalające na zdalne wykonanie kodu nie będą jedyną bronią preferowaną przez cyberprzestępców w 2011 roku. Na pierwszy plan wysuną się luki umożliwiające zwiększenie przywilejów, manipulację danymi oraz obchodzenie mechanizmów ochrony. Kradzież danych uwierzytelniających do bankowości online, spam, ataki DDoS, wyłudzenia i oszustwa prawdopodobnie pozostaną głównymi źródłami nielegalnych dochodów cyberprzestępców. Naturalnie niektóre z tych metod będą popularniejsze niż inne, można jednak założyć, że cyberprzestępcy nadal będą wykorzystywać je w tej czy innej postaci do osiągania swoich celów. Nie ma wątpliwości, że wzrośnie liczba zagrożeń atakujących platformy 64-bitowe. Pojawią się nowe techniki związane z atakami na mobilne urządzenia oraz systemy operacyjne, które w szczególności będą dotyczyły Androida. Wzrośnie liczba ataków na użytkowników portali społecznościowych. Większość ataków będzie wykorzystywała luki w zabezpieczeniach i będzie przeprowadzana za pośrednictwem przeglądarek. Jednym z największych problemów nękających Internet pozostaną ataki DDoS. Jednak wszystko to, o czym pisaliśmy wcześniej, to tylko przystawki do dania głównego, które będzie stanowiło największy zwrot w krajobrazie zagrożeń – pojawienie się nowej klasy organizatorów ataków oraz nowych i groźniejszych celów cyberataków. Nowi organizatorzy i nowe cele Jak już wspominaliśmy, w ciągu ostatnich lat przyzwyczailiśmy się do zwalczania szkodliwego kodu tworzonego przez cyberprzestępców w celu uzyskania korzyści finansowych. Stworzenie robaka Stuxnet było znaczącym i niepokojącym odejściem od tego co znane i świadczyło o przekroczeniu pewnej granicy moralnej i technologicznej. Poprzez ten atak cyberprzestępcy pokazali całemu światu, jakim dysponują arsenałem. Incydent ten stanowił również ostrzeżenie dla branży bezpieczeństwa IT ze względu na trudności, jakie przysparzało jego odparcie. Niewykluczone, że programy, takie jak Stuxnet, będą wykorzystywane jako środek zdobycia know-how oraz możliwości tajnych służb oraz organizacji handlowych. Naturalnie, w porównaniu z liczbą tradycyjnych ataków cyberprzestępczych, które będą miały miejsce, te dorównujące poziomem zaawansowania robakowi Stuxnet będziemy widywali rzadko. Jednak gdy już się pojawią, będą trudniejsze do wykrycia i jako że nie będą dotykały przeciętnego użytkownika, tylko nieliczne z nich trafią do czołówek gazet. Większość ofiar takich ataków prawdopodobnie nigdy się nie dowie, że zostało zaatakowanych. Głównym celem takich ataków nie będzie sabotaż, jak to było w przypadku Stuxneta, ale kradzież informacji. Takie ataki pojawią się w 2011 roku, a swój pełny potencjał rozwiną kilka lat później. Jednak już teraz wiadomo, że pojawienie się tej nowej generacji cyberprzestępców oznacza, że osoby zajmujące się zwalczaniem takich cyberzagrożeń będą musiały znacznie zwiększyć stawkę w tej grze. Spyware 2.0 Kilka lat temu przedstawiliśmy koncepcję Malware 2.0. Teraz przyszła kolej na Spyware 2.0. Przyglądając się współczesnemu szkodliwemu oprogramowaniu, można zauważyć, że oprócz wysyłania spamu i przeprowadzania ataków DDoS jego głównym celem jest kradzież kont użytkowników, niezależnie od tego czy dotyczą bankowości, poczty elektronicznej czy portali społecznościowych. W 2011 roku przewidujemy pojawienie się nowej klasy programów spyware, których cel możemy określić w skrócie: kradzież wszystkiego, co się da. Programy te będą gromadziły wszelkie dostępne informacje o użytkowniku: jego lokalizacji, pracy, znajomych, dochodach, rodzinie, koloru włosów i oczu itd. Taki program nie “pogardzi” niczym, sprawdzając każdy dokument i każde zdjęcie przechowywane na zainfekowanym komputerze. Wszystkie te dane stanowią gratkę dla tych, którzy umieszczają reklamy w Internecie i na portalach społecznościowych. W rzeczywistości, istnieje wielu potencjalnych klientów na takie informacje. Tak naprawdę nie ma znaczenia, do jakich celów zamierzają je wykorzystywać. Liczy się to, że istnieje na nie popyt, a tym samym stanowią potencjalną kopalnię złota dla cyberprzestępców. Cyberprzestępcy będą próbowali włączyć się do gry na możliwie jak najwcześniejszym etapie, kradnąc wszystko, co się da. We współczesnym świecie informacja stanowi najcenniejszy zasób, ponieważ - zgodnie ze znanym powiedzeniem - wiedza jest potęgą, a potęga oznacza kontrolę. Ponadto, tradycyjna cyberprzestępczość coraz wyraźniej wkracza na obszary, od których aż do niedawna trzymała się z daleka – ataki ukierunkowane na firmy. Kiedyś ataki ograniczały się do kradzieży pieniędzy i były skierowane przeciwko określonym użytkownikom, instytucjom bankowym oraz systemom płatności; obecnie technologia wykorzystywana przez cyberprzestępców ewoluowała do takiego poziomu, że umożliwia szpiegostwo przemysłowe, szantaż oraz wyłudzenia. Zagrożenia, na które powinniśmy uważać w 2011 roku: Nowa generacja lepiej zorganizowanych i bardziej “złośliwych” twórców szkodliwego oprogramowania. Ataki szkodliwego oprogramowania, których celem są zarówno informacje jak i korzyści finansowe. Informacje staną się celem cyberprzestępców nowej generacji oraz kolejnym źródłem dochodów dla starych graczy. Pojawienie się oprogramowania Spyware 2.0, nowej klasy szkodliwego oprogramowania, które kradnie dane osobowe użytkowników (kradzież tożsamości) oraz wszystkie rodzaje informacji, jakie może znaleźć. Spyware 2.0 stanie się popularnym narzędziem zarówno dla nowych jaki i starych graczy. Wzrost liczby ataków na użytkowników korporacyjnych przeprowadzanych przez tradycyjnych cyberprzestępców oraz stopniowy spadek liczby bezpośrednich ataków na zwykłych użytkowników. Luki pozostaną główną metodą przeprowadzania ataków, przy czym znacznie wzrośnie ich zakres i tempo. Treść tego dokumentu odzwierciedla poglądy Kaspersky Lab dotyczące wydarzeń, jakie miały miejsce w czasie jego publikacji, i został stworzony tylko w celach informacyjnych. Wszystkie zawarte tu informacje, łącznie z adresami URL i innymi odsyłaczami do stron internetowych, mogą zostać zmienione bez wcześniejszego powiadomienia posiadacza dokumentu. Kaspersky Lab ZAO nie daje gwarancji na aktualność informacji zawartych w tym dokumencie po dniu jego publikacji. Informacji tych nie należy interpretować jako zobowiązania ze strony Kaspersky Lab ZAO. Źródło: Kaspersky Lab