18 października 2011

Zagrożenia września - atak na Mitsubishi, infekcje BIOS-ów, nowe zagrożenia dla Maka, kradzież certyfikatów i wiele więcej

Kaspersky Lab przedstawia wrześniowy raport dotyczący aktywności szkodliwego oprogramowania na komputerach użytkowników oraz w Internecie. We wrześniu 2011 r. produkty firmy Kaspersky Lab zablokowały niemal 214 milionów ataków sieciowych, zapobiegły ponad 80 milionom prób zainfekowania komputerów za pośrednictwem Sieci, a także wykryły i zneutralizowały 263 miliony szkodliwych programów. Do raportu wykorzystano dane zebrane z komputerów, na których zainstalowano oprogramowanie firmy Kaspersky Lab.



Ataki na BIOS

BIOS to zestaw podstawowych procedur pośredniczących pomiędzy systemem operacyjnym a sprzętem, aktywowanych natychmiast po włączeniu komputera. Idea infekcji BIOS-u od dłuższego czasu zajmowała umysły cyberprzestępców – szkodliwy program aktywowany natychmiast po uruchomieniu komputera mógłby przejąć kontrolę nad wszystkimi etapami rozruchu maszyny i systemu operacyjnego. Od 1998 r., kiedy to popularny był wirus CIH (znany także jako Czarnobyl), który potrafił uszkodzić BIOS, twórcy szkodliwych programów zrobili niewielkie postępy na tym polu. Jednak, zmieniło się to we wrześniu bieżącego roku, gdy wykryto trojana zdolnego do skutecznego infekowania BIOS-u i w rezultacie do przejmowania całkowitej kontroli nad systemem operacyjnym. Nowy szkodliwy program został zaprojektowany do infekowania BIOS-u wyprodukowanego przez firmę Award i prawdopodobnie powstał w Chinach. Kod szkodnika jest niedokończony, jednak po analizie wykonanej przez analityków z Kaspersky Lab okazało się, że działa.

Atak na urząd certyfikacji DigiNotar

Jednym z głównych celów cyberprzestępców, którzy zaatakowali holenderski urząd certyfikacji DigiNotar, było utworzenie fałszywych certyfikatów SSL dla kilku popularnych zasobów, w tym sieci społecznościowych i usług pocztowych, z których korzystają użytkownicy domowi.

Atak miał miejsce pod koniec lipca i pozostał niezauważony przez cały sierpień. Umożliwiło to cyberprzestępcom złamanie systemu DigiNotar w celu utworzenia kilku tuzinów certyfikatów dla zasobów sieciowych, takich jak Gmail, Facebook i Twitter. Ich użycie zostało później zarejestrowane w Internecie jako część ataku na użytkowników z Iranu. Fałszywe certyfikaty są instalowane z poziomu dostawcy i umożliwiają przechwytywanie danych przesyłanych między użytkownikami a serwerem. Przypadek DigiNotar ponownie udowadnia, że istniejący system setek urzędów certyfikujących jest słabo chroniony i dyskredytuje samą ideę certyfikatów cyfrowych.

Zagrożenia dla Mac OS X: Nowy trojan ukrywający się w dokumentach PDF

Cyberprzestępcy w dalszym ciągu wykorzystują słabą czujność wielu użytkowników systemu Mac OS X. Większość użytkowników systemu Windows traktuje e-maile z załącznikami posiadającymi dodatkowe rozszerzenie (np. .pdf.exe lub .doc.exe) jako potencjalne zagrożenia, i po prostu usuwa je bez otwierania. Jednak taktyka ta okazała się być nowością dla użytkowników Maka, którzy są bardziej skłonni nieświadomie uruchomić szkodliwy kod ukrywany w pliku PDF, obrazku lub dokumencie itd.

Opisywany mechanizm został wykryty we wrześniu w szkodliwym programie Backdoor.OSX.Imuler.a, który może otrzymywać zdalne polecenia, a także wysyłać do cyberprzestępcy losowe pliki i zrzuty ekranu z zainfekowanego systemu. W tym przypadku cyberprzestępcy wykorzystali do ataku dokument PDF.

Zagrożenia mobilne

We wrześniu specjaliści z Kaspersky Lab wykryli 680 nowych wersji szkodliwych programów dla różnych platform mobilnych. Spośród wykrytych zagrożeń 559 powstało z myślą o Androidzie. Nie jest to całkowicie nowy trend - w ostatnich miesiącach dało się zaobserwować wyraźny wzrost całkowitej liczby szkodliwych programów na system firmy Google. Warto także wspomnieć, że coraz więcej nowych szkodliwych programów przeznaczonych na urządzenia mobilne wykorzystuje Internet do łączenia się ze zdalnymi serwerami w celu odbierania poleceń.

Ataki z wykorzystaniem kodów QR

Koniec września to pierwsze próby ataków z wykorzystaniem kodów obrazkowych QR. Kody te są coraz częściej stosowane, by ułatwić użytkownikom instalację oprogramowania na smartfonach, pozwalając na uniknięcie konieczności wprowadzania adresu strony. Wygląda na to, że cyberprzestępcy również postanowili ułatwić użytkownikom pobieranie szkodliwego oprogramowania. Eksperci z Kaspersky Lab wykryli kilka szkodliwych stron zawierających kody QR dla aplikacji mobilnych (np. Jimm i Opera Mini), które zawierały trojana zdolnego do wysyłania wiadomości tekstowych na numery o podwyższonej opłacie.

Atak na Mitsubishi

Informacje o ataku na japońską korporację Mitsubishi pojawiły się w środku września, chociaż badania przeprowadzone przez Kaspersky Lab sugerują, że najprawdopodobniej atak został zapoczątkowany w lipcu, a w aktywną fazę wszedł w sierpniu.

Według japońskiej prasy, w fabrykach produkujących sprzęt dla przemysłu okrętowego, rakietowego i jądrowego zainfekowanych zostało około 80 komputerów i serwerów. Szkodliwe oprogramowanie zostało także wykryte na komputerach w siedzibie firmy. W tej chwili nie można stwierdzić, jakie dokładnie informacje zostały skradzione, ale prawdopodobnie zaatakowane komputery zawierały poufne informacje o znaczeniu strategicznym.

“Wszystko wskazuje na to, że atak został starannie zaplanowany i przeprowadzony” - mówi Aleksander Gostiew, starszy ekspert ds. bezpieczeństwa w Kaspersky Lab. “Cyberprzestępcy posłużyli się znanym i sprawdzonym scenariuszem: pod koniec lipca kilku pracowników firmy Mitsubishi otrzymało od cyberprzestępców wiadomości e-mail zawierające plik PDF, który był szkodliwym programem wykorzystującym do infekcji luki w programie Adobe Reader. Szkodliwy moduł został zainstalowany natychmiast po otwarciu pliku, w wyniku czego cyberprzestępcy uzyskali pełny zdalny dostęp do systemu. Następnie z zainfekowanego komputera atakujący dokonali głębszej infekcji sieci firmy, łamiąc serwery i zbierając informacje, które następnie zostały przesłane na kontrolowany przez nich serwer. W ataku użyto około tuzina różnych szkodliwych programów, z których część została stworzona z myślą o wewnętrznej sieci firmy”.

Pełny raport można znaleźć w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/analysis.html?newsid=679.

Informację oraz raport można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.