14 grudnia 2011

Zagrożenia listopada: analogie między Duqu a Stuxnetem oraz utrata zaufania do centrów certyfikacji

Kaspersky Lab przedstawia listopadowy raport dotyczący aktywności szkodliwego oprogramowania na komputerach użytkowników oraz w internecie. W listopadzie 2011 r. produkty firmy Kaspersky Lab zablokowały ponad 204 miliony ataków sieciowych, zapobiegły niemal 90 milionom prób zainfekowania komputerów za pośrednictwem Sieci, a także wykryły i zneutralizowały ponad 238 milionów szkodliwych programów. Do raportu wykorzystano dane zebrane z komputerów, na których zainstalowano oprogramowanie firmy Kaspersky Lab.




Temat miesiąca: DUQU – dochodzenie trwa

Analiza przeprowadzona przez ekspertów z Kaspersky Lab ujawniła kolejne podobieństwo między Duqu a robakiem Stuxnet – w celu przeprowadzenia ataków oba szkodniki wykorzystywały nieznane wcześniej luki. W przypadku Duqu, ataki odbywały się za pośrednictwem poczty e-mail przy użyciu dokumentu Microsoft Word, który zawierał exploita na nieznaną wcześniej lukę w systemie Windows. Co istotne, przed początkiem grudnia Microsoft nie opublikował jeszcze łaty usuwającej tę lukę, co oznacza, że istnieje duże ryzyko wykorzystania jej podczas ataków.

Kaspersky Lab natychmiast dodał sygnaturę tego exploita do baz wykorzystywanych przez swoje produkty. Eksperci z tej firmy doszli również do wniosku, że głównym celem Duqu jest gromadzenie danych dotyczących aktywności określonych irańskich firm i agencji rządowych.

Wiele wskazuje na to, że wcześniejsze wersje Duqu mogły istnieć już od 2007-2008 roku, oraz że robak Stuxnet został stworzony na bazie platformy, która została wykorzystana również podczas tworzenia Duqu.

Nietypowa aktywność cyberprzestępców

W listopadzie odnotowano pierwszy przypadek trojanów z Ameryki Łacińskiej wykorzystujących stenografię (ukrywanie informacji) w plikach graficznych. Celem tej rodziny trojanów byli klienci brazylijskich banków. Technika ta pozwala twórcom wirusów upiec kilka pieczeni na jednym ogniu. „Po pierwsze, może spowodować niewłaściwe działanie automatycznych systemów analizy szkodliwych programów: po analizie programy antywirusowe stwierdzą, że plik jest czysty, i z czasem dany odsyłacz zostanie całkowicie wyłączony ze sprawdzania” – wyjaśnia Dmitrij Bestużew, szef globalnego zespołu ds. badań i analiz Kaspersky Lab na obszar Ameryki Łacińskiej. „Po drugie, administratorzy stron, na których przechowywane są zaszyfrowane szkodliwe pliki, nie będą w stanie zidentyfikować w nich zagrożenia. Po trzecie, niektórzy analitycy szkodliwego oprogramowania mogą nie mieć czasu ani niezbędnej wiedzy, aby sobie z nimi poradzić. Naturalnie, wszystko to działa na korzyść cyberprzestępców”.

Zagrożenia mobilne

W połowie lipca pojawiły się “pornograficzne” programy wysyłające SMS-y atakujące użytkowników ze Stanów Zjednoczonych, Malezji, Holandii, Wielkiej Brytanii, Kenii i Afryki Południowej. W imieniu użytkowników aplikacje te ukradkowo subskrybowały różne usługi o podwyższonej opłacie, które wabiły sprośnymi zdjęciami. Celem tych szkodników było wyczyszczenie konta mobilnego ofiary. Obecnie problem trojanów SMS dotyczy również użytkowników wielu państw europejskich oraz Kanady.

Zagrożenia dla Mac OS X

Użytkownicy Maków coraz częściej padają ofiarą szkodliwych programów rozprzestrzenianych za pośrednictwem pirackiego oprogramowania dla systemu Mac OS X na trackerach torrentów. Na przykład wykryty niedawno Backdoor.OSX.Miner, posiada kilka szkodliwych funkcji: ustanawia zdalny dostęp do zainfekowanego komputera, gromadzi informacje o historii przeglądania przy użyciu przeglądarki Safari; wykonuje zrzuty zawartości ekranu; kradnie plik wallet.dat z klientów BitCoin oraz uruchamia program do wydobywania bitcoinów bez autoryzacji użytkownika.

Szkodnik ten rozprzestrzenia się za pośrednictwem różnych trackerów torrentów, łącznie z publicbt.com, openbittorrent.com oraz thepiratebay.org.

Jeszcze więcej problemów z certyfikatami

W listopadzie kolejne holenderskie centrum certyfikacji – KPN – oświadczyło, że padło ofiarą hakerów, i musiało wstrzymać wydawanie certyfikatów. Złamanie zabezpieczeń zostało wykryte na serwerze sieciowym KPN związanym z Infrastrukturą Kluczy Publicznych. Atak został przeprowadzony cztery lata temu, w związku z czym powstaje pytanie, w jaki sposób narzędzie cyberprzestępców pozostało niewykryte przez tak długi czas.

Podobnie jak Diginotar, KPN może wydawać „specjalne” certyfikaty dla rządu holenderskiego i instytucji świadczących usługi publiczne. Wiele organizacji, które ucierpiały w wyniku ataku na DigiNotar, przeszło na certyfikaty KPN.

Ofiarą jeszcze poważniejszego incydentu padło malezyjskie centrum certyfikacji Digicert (CA Digicert Malaysia). W efekcie zostało ono nawet usunięte z listy zaufanych organizacji przez wszystkich producentów przeglądarek oraz Microsoft. Tak drastyczne środki okazały się konieczne, po tym jak centrum to wydało 22 certyfikaty o słabych kluczach 512-bitowych oraz certyfikaty bez odpowiednich rozszerzeń.

Pełny raport można znaleźć w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/analysis.html?newsid=689.

Informację oraz raport można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.