9 listopada 2011

Zagrożenia października: Reinkarnacja Stuxneta, rządowy trojan, ataki na Androida oraz najgroźniejsze szkodliwe oprogramowanie dla systemu Mac OS X

Kaspersky Lab przedstawia październikowy raport dotyczący aktywności szkodliwego oprogramowania na komputerach użytkowników oraz w internecie. W październiku 2011 r. produkty firmy Kaspersky Lab zablokowały ponad 161 milionów ataków sieciowych, zapobiegły ponad 72 milionom prób zainfekowania komputerów za pośrednictwem Sieci, a także wykryły i zneutralizowały niemal 206 milionów szkodliwych programów. Do raportu wykorzystano dane zebrane z komputerów, na których zainstalowano oprogramowanie firmy Kaspersky Lab.



Kaspersky Lab przedstawia październikowy raport dotyczący aktywności szkodliwego oprogramowania na komputerach użytkowników oraz w Internecie. W październiku 2011 r. produkty firmy Kaspersky Lab zablokowały ponad 161 milionów ataków sieciowych, zapobiegły ponad 72 milionom prób zainfekowania komputerów za pośrednictwem Sieci, a także wykryły i zneutralizowały niemal 206 milionów szkodliwych programów. Do raportu wykorzystano dane zebrane z komputerów, na których zainstalowano oprogramowanie firmy Kaspersky Lab.

Duqu

W październiku gwiazdą miesiąca był niewątpliwie trojan Duqu. Jego liczne podobieństwa do robaka Stuxnet – pierwszej poważnej broni cybernetycznej – zwiększyły tylko szum wokół tego zagrożenia. Uderzające analogie między tymi dwoma szkodliwymi programami sugerują, że zostały stworzone przez tę samą grupę osób lub że Duqu wykorzystywał kod źródłowy Stuxneta (który nie został udostępniony publicznie).

Z drugiej strony, między omawianymi programami istnieją znaczące różnice. Przede wszystkim, w przeciwieństwie do Stuxneta Duqu nie zawiera funkcji atakowania systemów przemysłowych. Oprócz głównego modułu Duqu zawiera również trojana szpiegującego, który może przechwytywać dane wprowadzane za pośrednictwem klawiatury, wykonywać zrzuty ekranu, zbierać informacje o systemie itd. To wszystko sugeruje, że głównym celem trojana nie był sabotaż przemysłowy, ale szpiegostwo przemysłowe.

Dalsze dochodzenie przeprowadzone przez ekspertów z Kaspersky Lab doprowadziło do zidentyfikowania nowych ofiar Duqu, głównie w Iraku, co stanowi kolejną analogię do Stuxneta. "Znaleźliśmy również nowe i wcześniej nieznane pliki Duqu. Potwierdza to nasze przypuszczenia, że osoby odpowiedzialne za Duqu nadal są aktywne, a cele ich ataków (w przeciwieństwie do masowych infekcji Stuxneta) są ściśle wyselekcjonowane" – tłumaczy Aleksander Gostiew, starszy analityk bezpieczeństwa, Kaspersky Lab. "Ponadto, dla każdego ukierunkowanego ataku wykorzystywany jest unikatowy zestaw plików. Niewykluczone, że stosowane są jeszcze inne komponenty - nie tylko trojan szpiegujący, ale również moduły posiadające szereg dodatkowych funkcji".

Bundestrojan

W październiku pięć niemieckich landów przyznało się do wykorzystywania podczas prowadzenia dochodzenia trojana Backdoor.Win32.R2D2 – co wywołało ogólne oburzenie. Niemieckie prawo federalne pozwala policji na przechwytywanie komunikacji podejrzanych osób prowadzonej jedynie za pośrednictwem Skype’a. W tym przypadku jednak szkodnik potrafił szpiegować również wiele innych rodzajów komunikatorów oraz aplikacji. Dochodzenie przeprowadzone przez Chaos Computer Club, niemiecką społeczność hakerów, w którym później uczestniczyli eksperci z niemieckiego biura Kaspersky Lab, wykazało, że trojan przechwytywał wiadomości nie tylko w programie Skype, ale również w najpopularniejszych przeglądarkach, rozmaitych komunikatorach oraz programach VoIP: ICQ, MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster oraz Yahoo! Messenger. Okazało się, że backdoor ten potrafił również działać w 64-bitowych wersjach systemów Windows.

Incydent ten po raz kolejny zwraca uwagę na problem istnienia tak zwanych „rządowych trojanów” oraz kwestie prawne związane z ich wykorzystywaniem. Warto podkreślić, że Kaspersky Lab, jak większość innych producentów rozwiązań antywirusowych, posiada twarde stanowisko w tych sprawach: produkty firmy wykrywają i nadal będą wykrywać wszystkie szkodliwe programy niezależnie od tego, kto je stworzył i dlaczego.

Android – na szczycie listy „hitów”

W październiku nastąpił przełom w świecie zagrożeń mobilnych: według danych Kaspersky Lab, całkowita liczba szkodliwych programów dla Androida po raz pierwszy przewyższyła liczbę zagrożeń dla J2ME. Szkodliwe oprogramowanie dla J2ME dominowało wśród zagrożeń mobilnych przez ostatnie dwa lata. „Tak gwałtowny wzrost liczby szkodliwych programów dla Androida sugeruje, że twórcy wirusów będą teraz koncentrowali się na tym systemie operacyjnym” – ostrzega Denis Maslennikow, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.


Podział zagrożeń mobilnych według platformy


Najgroźniejszy trojan dla systemu Mac OS X

W październiku pojawił się Trojan-Downloader.OSX.Flashfake.d, nowa wersja trojana Flashfake dla systemu Mac OS X. Szkodnik ten podszywał się pod plik instalacyjny programu Adobe Flash Player. Podobnie jak w przypadku jego poprzedników, głównym zadaniem trojana jest pobieranie innych plików z internetu. Został jednak wyposażony w dodatkową funkcję umożliwiającą wyłączenie wbudowanego systemu ochrony – Xprotect (stworzony przez firmę Apple prosty skaner sygnaturowy). Po wyłączeniu system ten nie może otrzymywać uaktualnień od Apple, przez co staje się bezużyteczny w wykrywaniu nowych zagrożeń. Wyłączenie XProtect jest możliwe, ponieważ twórcy tego systemu nie wyposażyli go w mechanizm autoochrony. Po uruchomieniu na komputerze Trojan-Downloader.OSX.Flashfake.d nie tylko uniemożliwia ochronie antywirusowej usunięcie go, ale również sprawia, że system jest podatny na inne szkodliwe programy, które w innym razie zostałyby wykryte przez wbudowany system bezpieczeństwa. W rezultacie, trojan ten jest znacznie groźniejszy niż inne szkodliwe programy dla systemu Mac OS X.

Ataki na sieci państwowe i korporacyjne

Pod względem ataków na korporacje i organizacje państwowe, październik był bardzo aktywnym miesiącem. Najczęstszym celem były organizacje w Stanach Zjednoczonych i Japonii.

Po pierwsze, wykryto atak na członków niższej izby japońskiego parlamentu. Istnieje duże prawdopodobieństwo, że hakerzy uzyskali dostęp do wewnętrznych dokumentów i wiadomości e-mail parlamentarzystów, którzy padli ofiarą tego ataku. Szkodliwe oprogramowanie zostało również wykryte na komputerach w kilku japońskich ambasadach na całym świecie. Szkodnik kontaktował się z dwoma serwerami zlokalizowanymi w Chinach, które wcześniej były wykorzystywane w ataku na Google.

Pojawiło się również więcej informacji na temat sierpniowego ataku na Mitsubishi Heavy Industries. Dochodzenie przeprowadzone przez tokijską policję ujawniło, że na 83 komputerach, które padły ofiarą tego ataku, znaleziono około 50 różnych szkodliwych programów. Wykryto, że do zainfekowanego systemu hakerzy uzyskali dostęp ponad 300 000 razy. Poszukiwanie źródła ataku doprowadziło do kolejnego zainfekowanego komputera, który należał do SJAC (Society of Japanese Aerospace Companies). Hakerzy wykorzystywali ten komputer do wysyłania zainfekowanych wiadomości e-mail do Mitsubishi Heavy i Kawasaki Heavy, a swoje ślady zacierali w ten sposób, że uzyskiwali dostęp do maszyny w SJAC z anonimowego serwera proxy zlokalizowanego w Stanach Zjednoczonych. Mimo to, japońscy eksperci podtrzymują swoją teorię, według której hakerzy pochodzili z Chin.

Na tym tle incydent z wirusem znalezionym w naziemnych systemach kontroli bezzałogowych samolotów w amerykańskiej bazie wojskowej może wydawać się mniej groźny. Jednak jest on kolejnym dowodem na to, że poziom bezpieczeństwa w ważnych instalacjach jest niedopuszczalnie niski. Według anonimowego źródła z amerykańskiego Departamentu Ochrony, celem trojana była kradzież danych dotyczących różnych gier online. Szkodnik prawdopodobnie znalazł się w systemie bazy wojskowej przez przypadek, a nie w ramach ataku. Pełny raport można znaleźć w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/analysis.html?newsid=683.

Informację oraz raport można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.