Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Zagrożenia października 2011 wg Kaspersky Lab

Tagi:

Miesięczne statystyki dotyczące szkodliwego oprogramowania: październik 2011

malware_top_20.png

Poniższe statystyki zostały stworzone w październiku na podstawie danych zebranych z komputerów, na których zainstalowano produkty firmy Kaspersky Lab:

  • zablokowano 161 003 697 ataków sieciowych;
  • udaremniono 72 207 273 infekcje internetowe;
  • wykryto i zneutralizowano 205 822 404 szkodliwe programy na komputerach użytkowników;
  • zarejestrowano 80 900 079 werdyktów heurystycznych.


Nowy arsenał sztuczek cyberprzestępców

Duqu – nowy Stuxnet

Głównym tematem miesiąca było wykrycie trojana Duqu oraz jego związki ze Stuxnetem - pierwszym powszechnie znanym przykładem cyberbroni. Eksperci z węgierskiego laboratorium badawczego Crysys zidentyfikowali liczne podobieństwa w kodowaniu Duqu i Stuxneta. Sugerują one, że oba szkodniki zostały napisane przez tę samą grupę osób lub że Duqu opierał się na kodzie źródłowym Stuxneta. Wbrew krążącym pogłoskom, kod Stuxneta nie został udostępniony publicznie.

W przeciwieństwie do Stuxneta, który zawierał kod potrafiący modyfikować działanie sterowników przetworników wysokiej częstotliwości, a jego celem była ponoć instalacja wzbogacania uranu w Iranie, Duqu nie posiada funkcjonalności atakowania systemów przemysłowych. Podczas analizy pierwszego zgłoszonego incydentu na Węgrzech, stwierdzono, że pliki Duqu zawierają główny moduł odpowiedzialny za poprawne działanie trojana i możliwość kontaktowania się z serwerem kontroli. Pliki zawierały również dodatkowy moduł trojana szpiegującego. Moduł ten potrafił przechwytywać dane wprowadzane za pośrednictwem klawiatury, wykonując zrzuty ekranu, gromadząc informacje o systemie itd. Skradzione dane mogły być następnie wysyłane do serwera kontroli trojana, zlokalizowanego w tym czasie w Indiach. Gdy okazało się, że głównym celem trojana jest szpiegostwo przemysłowe – a nie sabotaż przemysłowy w stylu Stuxneta – pojawiło się mnóstwo pytań dotyczących prawdziwej funkcji Duqu.

Podczas własnego badania eksperci z Kaspersky Lab nie tylko zidentyfikowali nowe ofiary Duqu, głównie w Iranie (kolejna analogia do Stuxneta), ale również znaleźli nowe i wcześniej nieznane pliki Duqu. Potwierdza to nasze przypuszczenia, że osoby odpowiedzialne za Duqu nadal są aktywne, a ich ataki (w przeciwieństwie do masowych infekcji Stuxneta) są przeprowadzana na konkretne osoby. Ponadto, dla każdego ukierunkowanego ataku wykorzystywany jest unikatowy zestaw plików. Niewykluczone, że wykorzystywane są jeszcze inne moduły - nie tylko trojan szpiegujący, ale również moduły posiadające wiele innych funkcji.

Nasze badanie Duqu jest w toku. Mamy nadzieję, że w następnym raporcie będziemy mogli przedstawić więcej szczegółów dotyczących tego szkodnika.

Ataki na użytkowników indywidualnych

Bundestrojan: dozwolone limity

W październiku głośny skandal wybuchł w Niemczech, po tym jak wykryto backdoora wykorzystywanego przez niemiecką policję do przechwytywania komunikacji głosowej i wiadomości z komputerów podejrzanych osób. Powodem oburzenia było nie tylko to, że do stosowania tego trojana przyznało się pięć landów, ale również fakt, że prawo federalne tego kraju zezwala organom ścigania jedynie na przechwytywanie komunikacji podejrzanych osób za pośrednictwem Skype’a, podczas gdy trojan potrafił szpiegować również wiele innych rodzajów programów.

Dochodzenie przeprowadzone przez Chaos Computer Club, niemiecką społeczność hakerską, w którym później uczestniczyli eksperci z niemieckiego biura Kaspersky Lab, wykazało, że Backdoor.Win32.R2D2 (zwany również jako “0zapftis”) przechwytywał wiadomości nie tylko w programie Skype, ale również najpopularniejszych przeglądarkach, różnych komunikatorach oraz programach VoIP: ICQ, MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster oraz Yahoo! Messenger. Okazało się, że backdoor potrafił również działać w 64-bitowych wersjach systemów Windows.

Trojan, który wywołał ten skandal, został zainstalowany przez policję na komputerze podejrzanego podczas kontroli na lotnisku w Monachium. Z dokumentów, które zostały następnie opublikowane na WikiLeaks, wynika, że rozwój trojana powierzono niemieckiej firmie DigiTask, której zapłacono za to ponad 2 miliony euro.

Incydent ten po raz kolejny zwraca uwagę na problem istnienia tak zwanych „rządowych trojanów” oraz kwestie prawne związane z ich wykorzystywaniem. Warto podkreślić, że nasza firma, jak większość innych producentów rozwiązań antywirusowych, posiada twarde stanowisko w takiej sprawie: wykrywamy i nadal będziemy wykrywać wszystkie szkodliwe programy niezależnie od tego, kto je stworzył i dlaczego.

Zagrożenia mobilne: Android na prowadzeniu

Statystyki

W październiku odnotowaliśmy również kilka poważnych incydentów na polu zagrożeń mobilnych. Z naszych statystyk wynika, że całkowita liczba szkodliwych programów dla Androida przewyższa liczbę zagrożeń dla Java 2 Micro Edition. Na przestrzeni ostatnich dwóch lat szkodliwe oprogramowanie dla J2ME dominowało wśród zagrożeń mobilnych. O przyczynach takiego stanu rzeczy pisaliśmy już wiele razy, dlatego nie będziemy się teraz wdawać w szczegóły. Jednak ten gwałtowny wzrost sugeruje, że twórcy wirusów prawdopodobnie skoncentrują się na szkodliwym oprogramowaniu dla Androida – przynajmniej w bliskiej przyszłości.

Do końca miesiąca wykryliśmy 1 916 szkodliwych programów dla Androida należących do 92 rodzin szkodliwego oprogramowania. 1 610 wykrytych wariantów (należących do 60 rodzin) zostało stworzonych dla platformy J2ME. Poniższy diagram pokazuje udział szkodliwych programów dla wszystkich platform mobilnych:


Podział zagrożeń mobilnych według platformy
Do końca października całkowita liczba wykrytych zagrożeń mobilnych wynosiła 4 053 (289 rodzin).

Antammi

Niestety, złośliwe oprogramowanie często pojawia się w Android Markecie. Przykładem może być szkodliwa aplikacja, która została usunięta z tego sklepu internetowego w październiku po zgłoszeniu od Kaspersky Lab, który wykrywa ją pod nazwą Trojan-Spy.AndroidOS.Antammi.b. Szkodnik ten był przeznaczony dla użytkowników z Rosji.

W Android Markecie można znaleźć szeroki wybór aplikacji umożliwiających pobieranie dzwonków na telefony. Antammi.b posiada wprawdzie funkcjonalność ściągania dzwonków (aby otrzymać dzwonki, użytkownicy muszą wysłać wiadomości tekstowe do płatnych serwisów), ale poza tym kradnie praktycznie wszystkie dane osobiste, jakie może znaleźć w telefonie: kontakty, archiwa SMS-ów, współrzędne GPS itd. Następnie szkodnik wysyła informacje o swojej aktywności na adres Gmail a skradzione dane są wrzucane na serwer.

Antammi.b pojawił się w oficjalnym sklepie Google’a na początku września. Zanim został usunięty, pond 5 000 użytkowników pobrało tę szkodliwą aplikację.

Zagrożenia dla Mac OS X: nowe funkcje

Trojan-Downloader.OSX.Flashfake.d, nowa wersja trojana Flashfake dla systemu Mac OS X, został wykryty w połowie października. Podobnie jak w przypadku jego poprzedników, główną funkcją tego trojana jest pobieranie plików. Szkodnik ten nadal podszywa się pod plik instalacyjny programu Adobe Flash Player. Została jednak dodana do niego funkcjonalność, która jest całkowicie nowa jak na szkodnika dla systemu Mac OS X.

Dwa lata temu Apple wyposażył Mac OS X w system ochrony antywirusowej o nazwie XProtect, który – mówiąc ogólnie – stanowi okrojoną wersję skanera sygnaturowego. Od 31 maja 2011 r., od incydentu z programem MacDefender, system ten codziennie sprawdza, czy są dostępne aktualizacje baz szkodliwego oprogramowania. Jednak Trojan-Downloader.OSX.Flashfake.d zdołał wyłączyć XProtect, uszkadzając jego główne pliki. W rezultacie, system ochrony nie otrzymywał aktualizacji of firmy Apple, przez co stawał się bezużyteczny. Wyłączenie XProtect jest możliwe, ponieważ twórcy tego systemu nie wyposażyli go w mechanizm autoochrony.

Po tym, jak Trojan-Downloader.OSX.Flashfake.d uruchomi się na komputerze, potrafi nie tylko zapobiec usunięciu go przez ochronę antywirusową, ale również sprawia, że system jest podatny na inne szkodliwe programy, które w innym razie zostałyby wykryte przez wbudowany mechanizm ochrony. W rezultacie, trojan ten jest o wiele groźniejszy niż inne szkodliwe programy dla OS X.


Rosnąca liczba odmian szkodliwego oprogramowania dla systemu OS X w 2011 r.

Pojawianie się nowych szkodliwych programów dla Mac OS X jest związane głównie z rosnącą popularnością komputerów firmy Apple. Niestety, użytkownicy systemu Mac OS X nie przywiązują wystarczającej wagi do bezpieczeństwa i wiele komputerów nie posiada ochrony antywirusowej. Technologia, na której opiera się wbudowany system ochrony, jest już przestarzała, przez co komputery Apple’a stanowią łatwy cel dla twórców wirusów.

Ataki na sieci państwowe i korporacyjne

Pod względem ataków na korporacje i organizacje państwowe, październik był bardzo aktywnym miesiącem.

Japonia: na celowniku hakerów

Po pierwsze, pojawiły się dalsze szczegóły dotyczące sierpniowego ataku na Mitsubishi Heavy Industries, o którym pisaliśmy w zeszłym miesiącu.

Dochodzenie przeprowadzone przez tokijską policję ujawniło, że na 83 komputerach, które padły ofiarą tego ataku, znaleziono około 50 różnych szkodliwych programów. Tylko na jednym komputerze zidentyfikowano aż dwadzieścia osiem szkodników. Wykryto, że do zainfekowanego systemu hakerzy uzyskali dostęp ponad 300 000 razy. Poszukiwanie źródła ataku doprowadziło do kolejnego zainfekowanego komputera, który należał do SJAC (Society of Japanese Aerospace Companies). Hakerzy wykorzystywali ten komputer do wysyłania zainfekowanych wiadomości e-mail do Mitsubishi Heavy i Kawasaki Heavy i zacierali swoje ślady uzyskując dostęp do maszyny w SJAC z anonimowego serwera proxy zlokalizowanego w Stanach Zjednoczonych. Mimo to, japońscy eksperci podtrzymywali swoją teorię, według której hakerzy pochodzili z Chin

Początkowo podawano, że nie zostały skradzione żadne poufne informacje. Jednak prawie miesiąc od rozpoczęcia dochodzenia w tej sprawie, w prasie pojawiły się doniesienia, jakoby hakerzy zdołali ukraść dane dotyczące samolotów bojowych i elektrowni nuklearnych

Japonia odegrała również główną rolę w innym październikowym incydencie, w którym wykryto atak na członków niższej izby parlamentu tego kraju i kilku misji dyplomatycznych na całym świecie. W parlamencie wykryto trzydzieści dwa zainfekowane komputery i istnieje duże prawdopodobieństwo, że hakerzy uzyskali dostęp do wewnętrznych dokumentów oraz wszystkich e-maili parlamentarzystów, którzy padli ofiarą ataku. Szkodliwe oprogramowanie zostało również wykryte na komputerach w japońskich ambasadach we Francji, Holandii, Birmie, Stanach Zjednoczonych, Kanadzie, Chinach i Korei Południowej. Szkodliwe programy kontaktowały się z dwoma serwerami zlokalizowanymi w Chinach, które wcześniej były już wykorzystywane w ataku na Google.

Stany Zjednoczone: nowe informacje o starych incydentach

Innym państwem, któremu nie obce są cyberataki, są Stany Zjednoczone. W październiku specjalne przesłuchanie w Kongresie ujawniło szczegóły dotyczące kilku incydentów, w tym marcowego ataku hakerskiego na RSA. Wyszły na jaw informacje, według których kilkaset innych firm na całym świecie mogło być celem w podobnych atakach przeprowadzonych przez tę samą grupę hakerów. Po raz kolejny winą zostały obarczone Chiny.

Ujawniono również szczegóły związane z atakami na dwa amerykańskie satelity w 2007 i 2008 r. Ujawniono, że hakerzy mieszali przy operacjach dwóch satelitów do sporządzania map ziemi: Landsat-7 i Terra AM-1. Nie poinformowano jednak, czy hakerzy zdołali ukraść jakiekolwiek informacje lub przerwać pracę satelitów. Władze amerykańskie oznajmiły, że satelity te nie odgrywały wielkiej roli w narodowym bezpieczeństwie tego państwa, jednak już sam fakt, że zostały zaatakowane, jest niepokojący. Teoretycznie, jeżeli hakerzy zdobędą dostęp do satelity, mogą wyłączyć go lub przechwycić dane, które przesyła na Ziemię.

W sumie odnotowano cztery ataki, w których cyberprzestępcy uzyskali dostęp do systemów kontroli satelitów. Przypuszcza się, że ataki były możliwe dzięki włamaniu do systemu komputerowego w norweskiej stacji satelitarnej.

Na tym tle incydent z wirusem znalezionym w naziemnych systemach kontroli bezzałogowych samolotów w amerykańskiej bazie wojskowej wygląda niezbyt groźnie. Trojan kradnący dane uwierzytelniające został wykryty we wrześniu na przenośnym dysku twardym oraz na komputerach stacji kontrolujących zdalnie sterowane samoloty bezzałogowe. Z wypowiedzi pochodzącej z anonimowego źródła w amerykańskim Departamencie Obrony wynika, że celem trojana była kradzież danych użytkowników dotyczących wielu gier online i prawdopodobnie znalazł się w systemie bazy wojskowej przez przypadek, a nie w ramach ataku. Niezależnie od tego, jak było naprawdę, incydent ten jest kolejnym przykładem zbyt niskiego poziomu bezpieczeństwa, zwłaszcza w tak ważnej instalacji wojskowej.

Rankingi październikowe

10 najbardziej rozpowszechnionych zagrożeń w Internecie

1 Malicious URL 82,47% 0
2 Trojan.Script.Iframer 2,25% +1
3 Trojan.Win32.Generic 1,41% +4
4 Trojan.Script.Generic 1,18% Bez zmian
5 Exploit.Script.Generic 1,03% +2
6 AdWare.Win32.Shopper.il 0,46% Nowość
7 Trojan-Downloader.Script.Generic 0,46% +1
8 AdWare.Win32.Eorezo.heur 0,32% -3
9 Trojan.JS.Popupper.aw 0,27% Nowość
10 AdWare.Win32.Shopper.jq 0,23% Nowość

10 największych źródeł szkodliwego oprogramowania

1 Stany Zjednoczone 25,43% 0
2 Rosja 22,68% Bez zmian
3 Niemcy 10,46% Bez zmian
4 Holandia 10,09% Bez zmian
5 Ukraina 7,52% +1
6 Zjednoczone Królestwo 4,58% -1
7 Wyspy Dziewicze 3,86% +1
8 Chiny 3,35% -1
9 Japonia 1,87% Nowość
10 Rumunia 1,76% Bez zmian

10 najpopularniejszych hostów szkodliwego oprogramowania

1 stats1.in 16,59%
2 ru-download.in 8,61%
3 72.51.44.90 8,39%
4 e46l.cc 8,2%
5 adult-se.com 7,88%
6 rx-downloader.in 7,88%
7 lxtraffic.com 5,1%
8 literedirect.com 4,75%
9 au.imgfarm.com 4,48%
10 tizerplatform.com 3,79%

Top 10 stref szkodliwych domen

1 com 29 549 282
2 ru 11 275 285
3 in 3 229 968
4 info 2 284 435
5 net 2 096 213
6 org 1 625 163
7 me 1 382 158
8 tv 962 598
9 cc 649 231
10 biz 387 681

10 państw o największym odsetku ataków na komputery użytkowników (na podstawie danych dostarczonych przez moduł Ochrona WWW)

1 Rosja 36,9% Bez zmian
2 Armenia 33,7% Bez zmian
3 Białoruś 31,0% +1
4 Irak 30,8% +5
5 Mongolia 30,2% Nowość
6 Ukraina 28,8% +1
7 Sudan 27,7% +3
8 Kazachstan 26,9% -5
9 Republika Korei 26,9% -1
10 Azerbejdżan 26,7% -4

Źródło:
Kaspersky Lab