Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Zagrożenia marca 2012 r. wg Kaspersky Lab

Tagi:

Duqu

Dochodzenie dotyczące trojana Duqu trwa już od sześciu miesięcy. W marcu odnotowaliśmy kolejny postęp w tej sprawie, ponieważ udało nam się ustalić, jaki język został wykorzystany w kodzie szkieletu tego szkodnika. Odkrycie to zostało dokonane z pomocą międzynarodowej społeczności IT, od której uzyskaliśmy kilkaset możliwych wyjaśnień i hipotez.

Szkielet Duqu został napisany w języku C i skompilowany przy użyciu MSVC 2008 z opcjami "/O1" oraz "/Ob1". Jego twórcy najprawdopodobniej wykorzystali obiektowe rozszerzenie języka C, standardowo określane jako “OO C”. Architektura oparta na zdarzeniach została rozwinięta w ramach szkieletu lub rozszerzenia OO C. Kod odpowiedzialny za komunikację z centrum kontroli (C&C) mógł zostać zapożyczony z innego projektu dot. szkodliwego oprogramowania, a następnie dostosowany do potrzeb Duqu. Uważamy, że kod został napisany przez profesjonalistów, którzy wykorzystali wiedzę programistyczną pochodzącą najprawdopodobniej ze „starej szkoły”. Podejście przyjęte przez twórców Duqu zwykle można spotkać w poważnych projektach programistycznych, jednak prawie nigdy w szkodliwych programach. Jest to jeszcze jeden dowód na to, że Duqu, wraz ze Stuxnetem, to unikatowy szkodnik, który wyróżnia się na tle innych szkodliwych programów.

Po zainwestowaniu ogromnych pieniędzy w takie projekty jak Duqu i Stuxnet nie jest łatwo zamknąć to wszystko tak po prostu. W marcu znaleźliśmy na wolności nowy sterownik, który był praktycznie identyczny z tymi wykorzystywanymi wcześniej w Duqu. Poprzednie sterowniki zostały stworzone 3 listopada 2010 roku oraz 17 października, natomiast nowy - 23 lutego 2010 r. Wygląda na to, że twórcy Duqu powrócili do pracy po zaledwie 4 miesięcznej przerwie.

Nowy sterownik Duqu posiada te same możliwości co wcześniej znane wersje. Zmiany w kodzie są nieznaczne, pokazują jednak, że twórcy odrobili pracę domową i naprawili błędy, aby uniknąć wykrycia. Nie wykryliśmy głównego modułu Duqu związanego z tym sterownikiem.

Walka z cyberprzestępczością

Zamknięcie drugiego botnetu Hlux/Kelihos

Kaspersky Lab, we współpracy z CrowdStrike, Dell SecureWorks oraz projektem Honeynet, rozbił drugi botnet Hlux/Kelihos. Naukowcy określają ten botnet jako Kelihos.B, aby zaznaczyć, że został stworzony przy użyciu drugiej, zmodyfikowanej wersji oryginalnego bota.

21 marca zaczęliśmy wprowadzać do botnetu specjalny router leja (sinkhole). Chcieliśmy, aby zainfekowane komputery komunikowały się tylko z tym routerem. W ciągu tygodnia ponad 116 000 botów nawiązało kontakt z naszym routerem, co pozwoliło nam przejąć na nimi kontrolę.

Podczas operacji przechwycenia kontroli nad botnetem botmasterzy zazwyczaj próbują wzmocnić swoje pozycje poprzez opublikowanie nowej wersji bota i uruchomienie kampanii mającej na celu podłączenie do botnetu nowych komputerów. Taki scenariusz zdarzył się we wrześniu, gdy został rozbity pierwszy botnet Hlux/Kelihos. Jego powtórka miała miejsce w marcu.

Na nową, trzecią wersję botnetu, zwaną Kelihos.C, trafiliśmy kilka dni po rozpoczęciu operacji leja. Najwyraźniej botmasterzy bali się, że ich botnet może zostać w każdej chwili zneutralizowany i wprowadzili plan B. Zaobserwowaliśmy, że w botnecie Kelihos.C zostały zmodyfikowane klucze RSA, tak jak w przypadku botnetu Kelihos.B. Klucze RSA zostały użyte do zaszyfrowania pewnych struktur w wiadomościach.

Ponieważ właściciele botnetu natychmiast opublikowali kolejną aktualizację bota, niektórzy eksperci są sceptyczni odnośnie skuteczności odsysania (sinkholing) jako metody neutralizowania botnetów. Nadal uważamy, że stosowanie tej metody może znacznie utrudnić życie cyberprzestępcom poprzez skierowanie ich zasobów na rozprzestrzenianie nowego bota oraz infekowanie nowych komputerów. Tak długo jak nowe wersje bota nie wprowadzą poważniejszych zmian do swojej architektury i protokołu komunikacji, gra w kotka i myszkę nie skończy się. Jednak pełne zwycięstwo nad botnetem zapewni jedynie aresztowanie osób odpowiedzialnych za niego osób.

Atak na ZeuSa oraz jego hosty

W połowie marca Microsoft połączył siły z organizacją zajmującą się obsługą e-płatności NACHA oraz FS-ISAC, organizacją pozarządową reprezentującą interesy członków amerykańskiej branży finansowej, w celu przeprowadzenia kolejnego ataku na administratorów botnetu. Atak został określony jako “operation b71”. Na podstawie zgody wydanej przez sądy przejęto wiele serwerów – centrów kontroli najaktywniejszych i największych botnetów opartych na ZeuSie.

Microsoft próbował również zidentyfikować osoby biorące udział w tworzeniu i dystrybucji ZeuSa i innych podobnych trojanów, takich jak SpyEye oraz Ice-IX (ten ostatni opierał się na kodzie źródłowym ZeuSa, który wcześniej wyciekł do internetu).

Microsoft wniósł pozew przeciwko 39 anonimowym osobom zamieszanym w tworzenie szkodliwego kodu oraz opartych na nim botnetów. Miejmy nadzieję, że inicjatywa ta zyska poparcie amerykańskich organów ścigania i, przy międzynarodowej współpracy, więcej cyberprzestępców zostanie postawionych przed sądem.

Są to jedyne działania, które mogą pomóc zneutralizować trojany bankowe – według szacunków firmy Microsoft, całkowite szkody spowodowane przez ZeuSa, SpyEye’a i Ice-IX już teraz wynoszą około pół miliarda dolarów.

Aresztowanie cyberprzestępców stojących za Carberp

Rosyjskie organy ścigania, wraz z grupą analityczną Group-IB, zakończyły dochodzenie w sprawie działań przestępczych grupy, która kradła pieniądze przy użyciu niesławnego trojana bankowego Carberp. Według działu prasowego rosyjskiego Departamentu K, specjalistycznej jednostki do zwalczania przestępczości hi-tech, grupa ta liczyła osiem osób. Klienci kilkudziesięciu rosyjskich banków padli ofiarą cyberprzestępców, którzy zdołali ukraść około 60 milionów rubli (około 2 miliony dolarów). Na szczęście, w wyniku dochodzenia cyberprzestępcy zostali aresztowani.

W Rosji doniesienia o aresztowaniu cyberprzestępców należą do rzadkości, dlatego wiadomość ta została bardzo dobrze przyjęta. Jednak dochodzenie objęło tylko jedną grupę, która wykorzystywała gotowy kod Carberp i rozprzestrzeniała go przy pomocy usług sieci partnerskich. W oświadczeniu publicznym wyjaśniono, że grupa ta składała się z botmasterów oraz tzw. słupów pieniężnych, którzy pobierali skradzione pieniądze z bankomatów. Jednak autor tego trojana i jego sieci partnerów nadal znajdują się na wolności. Trojan Carberp nadal jest sprzedawany na specjalistycznych forach, co oznacza, że wciąż jest w użyciu i będzie używany przez inne grupy. Od dzisiaj monitorujemy aktywność kilku botnetów Carberp. To, czy należą one do jednej czy wielu różnych grup, nadal nie jest jasne.

Ataki na użytkowników indywidualnych

Bot „bez pliku”

Na początku marca eksperci z Kaspersky Lab wykryli unikatowy szkodliwy atak, w którym wykorzystywano szkodliwe oprogramowanie potrafiące działać bez tworzenia plików w zainfekowanym systemie.

Szkodliwy kod rozprzestrzeniał się za pośrednictwem sieci teaserów, która obejmowała kilka popularnych rosyjskich źródeł wiadomości. JavaScript dla jednego z teaserów załadowanych na stronę zawierał ramkę iframe, która przekierowywała użytkownika na szkodliwą stronę w domenie .EU zawierającą exploit Javy.

W przeciwieństwie do typowych ataków drive-by szkodliwe oprogramowanie nie zostało pobrane na dysk twardy, ale działało wyłącznie w pamięci RAM. Działając jako bot szkodnik wysyłał do kontrolowanego przez cyberprzestępców serwera zapytania zawierające dane dotyczące historii surfowania, pobrane z danych dotyczących przeglądarki użytkownika. Jeżeli dane wysłane do szkodliwego serwera zawierały informacje wskazujące na to, że użytkownik korzystał z systemów zdalnej bankowości, wtedy na zainfekowanym komputerze został zainstalowany trojan Lurk. Jego celem jest kradzież poufnych danych użytkowników umożliwiających zdobycie dostępu do usług bankowości online oferowanych przez kilka dużych rosyjskich banków

Ofiarą tego ataku padli rosyjscy użytkownicy. Nie można jednak wykluczyć, że ten sam exploit i ten sam „bezplikowy” bot zostaną użyte do ataków na osoby w innych częściach świata: mogą być rozprzestrzeniane za pośrednictwem podobnych sieci bannerów i teaserów w innych państwach.

Po raz pierwszy od wielu lat trafiliśmy na tak rzadki rodzaj szkodliwego oprogramowania – tak zwane „bezplikowe” szkodliwe programy. Programy te nie istnieją jako pliki na dysku twardym - działają jedynie w pamięci RAM zainfekowanego komputera, znacznie utrudniając ich wykrywanie przez rozwiązania antywirusowe.

Chociaż „bezplikowe” szkodliwe oprogramowanie działa tylko do powtórnego uruchomienia systemu operacyjnego, szanse na to, że użytkownik ponownie odwiedzi zainfekowana stronę zwykle są wysokie.

Eksperci z Kaspersky Lab często podkreślają, że niezwłoczne łatanie dziur stanowi jedyną pewną metodę ochrony przed szkodliwym oprogramowaniem, które wykorzystuje luki w zabezpieczeniach. W tym przypadku, zalecamy zainstalowanie łaty dostarczanej przez Oracle, która usuwa lukę CVE-2011-3544 w Javie. Łata może zostać pobrana ze strony: www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html.

Kolejna kradzież certyfikatów

Pojawia się coraz więcej podpisanych szkodliwych programów. Kolejne szkodniki z ważnymi podpisami cyfrowymi – trojany Mediyes – zostały wykryte w połowie marca, wraz z licznymi plikami droppera, które zostały podpisane między grudniem 2011 r. a 7 marca 2012 r. We wszystkich tych przypadkach wykorzystano certyfikat wydany dla szwajcarskiej firmy Conpavi AG. Wiadomo, że firma ta współpracuje ze szwajcarskimi lokalnymi władzami rządowymi.

Przestępcy mogli zainfekować komputery firmy i ukraść certyfikat, który został później wykorzystany do podpisywania szkodliwego oprogramowania. (Funkcję tę wykonuje znany szkodliwy program o nazwie ZeuS – szkodnik ten przeszukuje zainfekowany komputer w celu znalezienia certyfikatów i, jeżeli mu się to uda, wysyła je cyberprzestępcy). To, że w wypadek ten mogły być zamieszane władze lokalne, jest szczególnie złą wiadomością – kto wie, do jakich krytycznych danych cyberprzestępcy ci uzyskali dostęp.

Mediyes przechowuje swój własny sterownik w folderze sterowników systemowych, który następnie wstrzykuje do przeglądarki internetowej szkodliwą bibliotekę DLL. Jeżeli użytkownik wysyła zapytania poprzez wyszukiwarkę Google, Yahoo lub Bing, trojan duplikuje wszystkie zapytania na serwerze cyberprzestępcy. W odpowiedzi serwer podaje odsyłacze z systemu Search123 działającego w modelu pay-per-click. Odsyłacze te są klikane bez wiedzy użytkowników; cyberprzestępcy zarabiają pieniądze na fałszywych kliknięciach.

Szkodliwe rozszerzenie dla Chrome’a

Na początku marca eksperci z Kaspersky Lab wykryli szkodliwe rozszerzenie dla Google Chrome’a, za pomocą którego atakowani byli użytkownicy Facebooka w Brazylii. Nic jednak nie stoi im na przeszkodzie, aby przeprowadzili podobny atak na użytkowników z innych krajów.

Szkodliwe rozszerzenia były rozprzestrzeniane na Facebooku za pośrednictwem odsyłaczy, które wyglądały jakby prowadziły do legalnych aplikacji. W atakach tych wykorzystywano kilka tematów, w tym „Zmień kolor twojego profilu”, „Dowiedz się, kto obejrzał twój profil” oraz „Dowiedz się, jak usunąć wirusa z twojego profilu na Facebooku”. Jeżeli użytkownik zgodził się zainstalować aplikację, został przekierowany do oficjalnego sklepu Google Chrome, w którym szkodliwe rozszerzenie dla Chrome’a ukrywało się pod postacią „Adobe Flash Player”.

Przeciętny użytkownik prawdopodobnie nie rozumie wszystkich szczegółów dotyczących publikowania aplikacji w sklepie Google Chrome Web Store. Użytkownik widzi oficjalną stronę internetową Google’a i nie spodziewa się żadnego zagrożenia. Jednak prawie każdy może wykorzystać ten sklep do wrzucenia swojego rozszerzenia dla Chrome’a – trzeba mieć tylko konto w Google, a Google Chrome Web Store posiada specjalną sekcją dla rozszerzeń „nieoficjalnych”.

Po zainstalowaniu zainfekowanego rozszerzenia na komputerze cyberprzestępcy uzyskali pełny dostęp do konta facebookowego ofiary. W opisywanym incydencie rozszerzenie pobierało szkodliwy plik skryptowy z serwera kontrolowanego przez cyberprzestępców. Gdy ofiara weszła na swoją stronę na Facebooku, skrypt był osadzany w kodzie HTML strony.

Celem skryptu jest zdobycie jak największej liczby kliknięć przycisku “Lubię to” dla wybranych przez cyberprzestępców stron. Wysyła również wiadomość od ofiar, namawiając je do pobrania tego samego szkodliwego rozszerzenia.

Google usunął szkodnika, jak tylko został o nim poinformowany. Jednak przestępcy stworzyli już podobne rozszerzenia i umieścili je w tym samym miejscu – w sklepie Google Chrome Web Store.

Exploit MS12-020 RDP

W marcu Microsoft opublikował łatę, która usuwała krytyczną lukę w usługach terminalowych firmy (znanych również jako zdalny pulpit). Ta szczególnie problematyczna luka należy do kategorii luk “use-after-free” i została zlokalizowana w kodzie, który został wykonany z lokalnymi przywilejami systemowymi.

Jako pierwszy lukę tę wykrył Luigi Auriemma. Stworzony przez niego pakiet sieciowy spowodował załamanie się zdalnego pulpitu (DoS). Ekspert ten przekazał szczegółowe informacje na temat problemu odpowiednim osobom w Microsofcie. Tajemnicą pozostaje, gdzie została dalej skierowana ta informacja, wiemy jednak, że przedostała się do internetu, gdzie zamiast ogólnego opisu firmy Microsoft, potencjalne osoby atakujące otrzymały w prezencie przykład tego, jak można wykorzystać tę lukę w zdalnym desktopie.

Od razu znalazło się wiele osób zainteresowanych znalezieniem działających exploitów, które wykorzystują tę dziurę: niektórzy chcieli exploita w celu przeprowadzania ataków, inni chcieli potwierdzić istnienie exploita i ostrzec przed tym zagrożeniem. Tymczasem niektórzy eksperci ds. bezpieczeństwa zaczęli przygotowywać się na epidemię robaków sieciowych potrafiących wykorzystać tę lukę.

Na pojawienie się pierwszych exploitów nie trzeba było długo czekać, przy czym wersie szkodliwego kodu „twierdziły”, że oferują nieautoryzowany zdalny dostęp do komputerów PC działających pod kontrolą Windowsa za pośrednictwem zdalnego desktopu.

Jednak jedna z wersji posiadała wszelkie znamiona żartu:

Autor tego konkretnego exploita podpisywał się jako haker Sabu – jego koledzy oskarżyli go niedawno o przekazywanie FBI informacji o innych członkach grupy, które doprowadziły do ich aresztowania.

Kod został napisany w języku Python i wykorzystuje moduł freerdp, co widać w tekście na zrzucie ekranu powyżej. Nie istnieje jednak żaden znany moduł freerdp dla Pythona. Istnieje darmowa implementacja open source dla protokołu zdalnego desktopu znana jako FreeRDP, jednak sami twórcy nie wiedzą nic na temat wsparcia dla freerdp na platformie Python.

Okazało się, że rzeczywiście był to żart, i wcale nie stanowił odosobnionego przypadku.

Exploity zaczęły wyrastać jak grzyby po deszczu, jednak żadna wersja nie potrafiła zdalnie wykonać kodu. Pojawiła się nawet specjalna strona o wiele mówiącej nazwie istherdpexploitoutyet.com.

A zatem na exploita, który potrafi zdalnie wykonać kod za pośrednictwem zdalnego desktopu, musimy jeszcze poczekać. Większość albo nie daje zamierzonego wyniku albo kończy się niebieskim ekranem śmierci (ang. BSOD).

Mimo to zalecamy wszystkim użytkownikom systemu Microsoft Windows, aby sprawdzili, czy na ich komputerach PC wykorzystywany jest zdalny desktop. Jeżeli tak, należy natychmiast zainstalować łatę firmy Microsoft. Warto również zastanowić się, czy usługa ta jest absolutnie konieczna w systemie.

Poinformujemy was, jeżeli pojawi się działający exploit, który potrafi wykonać kod zdalnie, w międzyczasie jednak na stronie http://rdpcheck.com można sprawdzić, czy wasz serwer jest narażony na potencjalne ataki RDP.

Zagrożenia dla Maka

W marcu byliśmy świadkami bezprecedensowej aktywności w postaci szkodliwego oprogramowania dla systemu Mac OS X.

Najbardziej znanym przypadkiem była prawdopodobnie dystrybucja spamu na adresy organizacji tybetańskich. Spam ten zawierał odsyłacze do exploita JAVY Exploit.Java.CVE-2011-3544.ms, wykrytego przez AlienVault Labs. Celem tego exploita jest instalowanie szkodliwych programów na komputerach użytkowników w zależności od rodzaju systemu operacyjnego na komputerze ofiary. W tym konkretnym przypadku Backdoor.OSX.Lasyr.a był instalowany na komputerach użytkowników systemu Mac OS X, a Trojan.Win32.Inject.djgs na komputerach użytkowników systemu Windows (trojan ten został podpisany certyfikatem z minioną datą ważności wydanym przez chińską firmę WoSign Code Signing Authority). Cyberprzestępcy wykorzystywali te same serwery w celu zarządzania obydwoma szkodliwymi programami podczas ataków.

Atak ten nie był jedynym przykładem wykorzystywania przez Chiny szkodliwego oprogramowania w celu przeprowadzania ataków na organizacje tybetańskie. Zaledwie tydzień później w podobnej wysyłce spamu znaleziono plik DOC, wykrywany przez Kaspersky Lab jako Exploit.MSWord.CVE-2009-0563.a. Exploit ten infekował komputery użytkowników systemu Mac OS X szkodliwym programem Backdoor.OSX.MaControl.a. Szkodnik ten otrzymywał polecenia dla zainfekowanych komputerów z serwera freetibet2012.xicp.net zlokalizowanego w Chinach.

W marcu wykryto również nową modyfikację szkodliwego programu Backdoor.OSX.Imuler, o której pisaliśmy w naszym raporcie obejmującym wrzesień 2011 r. Szkodliwe programy należące do tej rodziny są rozprzestrzeniane pod przykrywką plików z bezpiecznymi rozszerzeniami. Podczas marcowego ataku cyberprzestępcy rozprzestrzeniali spam z erotycznymi obrazami o rozszerzeniach .JPG i szkodliwymi plikami wykonywalnymi zamaskowanymi jako obrazy.

W miesiącu tym pojawiła się jeszcze jedna “innowacja”: szkodliwe programy z rodziny Trojan-Downloader.OSX.Flashfake wykorzystują teraz Twittera jako serwer kontroli. W celu rozprzestrzenienia tych szkodliwych programów cyberprzestępcy wykorzystali 200 000 zhakowanych blogów działających w ramach systemu WordPress.

Zagrożenia mobilne

Trojan bankowy dla Androida

Około 18 miesięcy temu wykryto mobilną wersję niesławnego trojana ZeuS, który otrzymał nazwę ZitMo (ZeuS-in-the-Mobile). Celem tego szkodnika była kradzież numerów służących do uwierzytelniania transakcji mobilnych (mTAN), które banki wysyłają na telefony komórkowe swoich klientów za pośrednictwem SMS-ów. Chociaż tego rodzaju zagrożenie mobilne było dalej rozwijane, dopiero w marcu 2012 roku wykryto szkodliwe oprogramowanie mobilne, które potrafiło kraść dane służące do uwierzytelniania transakcji bankowości online (login i hasło).

W połowie marca został zidentyfikowany szkodliwy program, którego celem były nie tylko wiadomości SMS zawierające kody mTAN, ale również dane uwierzytelniające transakcje bankowości online. Kaspersky Lab wykrywa ten program jako Trojan-SMS.AndroidOS.Stealer.a.

Po uruchomieniu szkodliwa aplikacja wyświetla okno, które zawiera rzekomo dialog generowania tokenów. Aby umożliwić „wygenerowanie” tokena, użytkownik jest proszony o wprowadzenie klucza wymaganego do początkowego uwierzytelnienia w systemie bankowości online. Następnie szkodnik generuje fałszywy token (losowo wybrany numer), a dane wprowadzane przez użytkownika są wysyłane na numer komórkowy cyberprzestępców oraz zdalny serwer, wraz z numerami IMEI oraz IMSI. Ponadto, szkodliwy program może otrzymywać wiele poleceń ze zdalnego serwera (w większości związanych z kradzieżą numerów mTAN).

Pojawienie się tego rodzaju szkodliwego oprogramowania nie było żadną niespodzianką, jednak pewne szczegóły zwróciły naszą uwagę. Jak dotąd wszystkie znane próbki tego szkodliwego programu atakowały klientów hiszpańskich banków. Jednak jeden ze zdalnych serwerów, z którymi próbuje połączyć się szkodliwe oprogramowanie, znajdował się w strefie .ru (domena ta jest obecnie wyłączona). Co więcej, numer telefonu komórkowego, na który wysyłane są skradzione dane, jest rosyjski i należy do operatora regionalnego. To oznacza, że w tworzenie tego szkodnika prawdopodobnie zamieszani byli rosyjscy autorzy szkodliwego oprogramowania.

Ataki na korporacje/rządy/organizacje

Szpiegostwo kosmiczne

W marcu pojawiły się doniesienia o kilku atakach hakerskich na agencje badań przestrzeni kosmicznej.

Szczególnie interesujący był raport o incydentach ujawnionych przez NASA. Został on przedstawiony przez inspektora generalnego tej agencji przed Komitetem ds. Nauki, Przestrzeni Kosmicznej i Technologii Kongresu Stanów Zjednoczonych.

A NASA audit revealed an incident in November 2011 when attackers (from Chinese IP addresses) gained full access to the network of the Jet Propulsion Laboratory (JPL). Moreover, during 2011, 47 targeted attacks on NASA were detected, 13 of which were successful. In 2010-2011 there were more than 5,400 estimated incidents of varying severity involving unauthorized access to the agency’s networks or malicious programs.

Przeprowadzony w NASA audyt ujawnił incydent, który miał miejsce w listopadzie 2011 r., gdy osoby atakujące (z chińskich adresów IP) uzyskały pełny dostęp do sieci laboratorium JPL (Jet Propulsion Laboratory). Co więcej, w 2011 r. wykryto 47 ukierunkowanych ataków na NASA, z których powiodło się 13. Szacuje się, że w latach 2010-2011 miało miejsce ponad 5 400 incydentów, obejmujących nieautoryzowany dostęp do sieci agencji lub szkodliwe programy.

Oprócz ataków hakerskich plagą NASA są również powtarzające się przypadki utraty laptopów zawierających poufne informacje. Od 2009 r. agencja odnotowała prawie 50 takich incydentów, w tym zniknięcie laptopa zawierającego informacje o algorytmach zarządzania dla Międzynarodowej Stacji Kosmicznej.

Japońska agencja kosmiczna opublikowała również wyniki dochodzenia w sprawie incydentu, który wydarzył się latem 2011 r., ale pozostał niewykryty aż do stycznia 2012 r. W lipcu 2011 r. pracownik japońskiej agencji kosmicznej otrzymał e-maila zawierającego szkodliwy plik. Zainstalowany na jego komputerze program antywirusowy nie został uaktualniony, co pozwoliło szkodliwemu programowi zainfekować system. Osoby atakujące uzyskały dostęp do wszystkich informacji przechowywanych na komputerze, dzięki czemu potencjalnie mogły monitorować wyświetlane na ekranie informacje. Na szczęście, jak poinformowała agencja, na komputerze nie było żadnych poufnych informacji. Mimo że komputer ten miał dostęp do monitoringu działania pojazdu transferowego H-II, osoby atakujące nie zdołały uzyskać do niego dostępu.

Dalsza analiza nie ujawniła wykorzystania skradzionych informacji uwierzytelniających dostęp do innych systemów JAXA czy NASA. Wyciek około 1000 e-maili agencji można uznać za nieznaczną stratę.

Marzec w liczbach

W marcu na komputerach z zainstalowanymi produktami firmy Kaspersky Lab:

  • wykryto i zneutralizowano ponad 370 milionów szkodliwych programów;
  • wykryto 200 milionów (55% wszystkich zagrożeń) prób infekcji sieciowych;
  • wykryto ponad 42 miliony szkodliwych adresów URL.

Zagrożenia w internecie – marzec 2012

Statystyki te przedstawiają werdykty wykrycia szkodliwego oprogramowania przez moduł antywirusowy i zostały dostarczone przez użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić informacje o próbach ataków na ich komputery.

W naszych obliczeniach pominęliśmy państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000).

Mapa ryzyka infekcji podczas surfowania po internecie

10 państw, w których użytkownicy są najbardziej narażeni na infekcję za pośrednictwem internetu

# Kraj % * Zmiana w rankingu
1 Rosja 55,50% Bez zmian
2 Armenia 49,30% +1
3 Kazachstan 47,80% +1
4 Białoruś 47,10% +1
5 Azerbejdżan 46,30% +1
6 Ukraina 43,30% +1
7 Sudan 41,00% Nowość
8 Uzbekistan 40,30% Bez zmian
9 Wybrzeże Kości Słoniowej 39,90% -7
10 Bangladesz 39,40% Bez zmian
*Odsetek unikatowych użytkowników w danym państwie, w którym komputery z zainstalowanym produktem firmy Kaspersky Lab zablokowały zagrożenia online.

10 państw, w których użytkownicy są najmniej narażeni na infekcję za pośrednictwem internetu

# Kraj % * Zmiana w rankingu
1 Tajwan 10,10% Bez zmian
2 Benin 12,60% +1
3 Japonia 12,90% -1
4 Hong Kong 12,90% +2
5 Macau 13,60% +2
6 Burkina Faso 14% Nowość
7 Birma 14,80% Nowość
8 Nowa Zelandia 15% +1
9 Puerto Rico 15,30% Nowość
10 Denmark 15,50% -2
*Odsetek unikatowych użytkowników w danym państwie, w którym komputery z zainstalowanym produktem firmy Kaspersky Lab zablokowały zagrożenia online.

10 szkodliwych stref domen


Źródło ataków sieciowych według strefy domen*
*Liczba ataków z zasobów sieciowych według domeny, wykrytych przez moduł ochrony WWW.

Ranking Top 10 państw, w których do zasobów sieciowych wstrzyknięto szkodliwe oprogramowanie


Źródła ataków sieciowych według państwa*
* W celu określenia geograficznego źródła ataku nazwa domeny jest porównywana z rzeczywistym adresem IP, pod którym znajduje się dana domena, a następnie jest określana lokalizacja geograficzna adresu IP (GEOIP).

Ranking Top 10 zagrożeń w internecie

# Nazwa % wszystkich ataków* Zmiana w rankingu
1 Niebezpieczny adres URL 85,71% Bez zmian
2 Trojan.Script.Iframer 4,03% Bez zmian
3 Trojan.Script.Generic 2,74% +1
4 Trojan.Win32.Generic 0,30% +1
5 Trojan-Downloader.Script.Generic 0,28% -1
6 Trojan-Downloader.JS.JScript.ag 0,26% Nowość
7 Trojan-Downloader.JS.JScript.ai 0,19% Nowość
8 Trojan.JS.Popupper.aw 0,18% +2
9 Trojan.JS.Iframe.zy 0,15% Nowość
10 Trojan-Downloader.JS.JScript.ax 0,14% Nowość
* Odsetek unikatowych incydentów wykrytych przez moduł ochrony WWW na komputerach użytkowników.


Exploity wykryte przez moduł ochrony WWW na komputerach użytkowników według atakowanej aplikacji*
* Odsetek wszystkich zablokowanych ataków sieciowych przy użyciu exploitów

Źródło:
Kaspersky Lab