24 maja 2013

Ewolucja zagrożeń IT w pierwszym kwartale 2013 r.: Nowe incydenty i starzy podejrzani

W najnowszym raporcie eksperci z Kaspersky Lab analizują rozwój zagrożeń IT w pierwszym kwartale 2013 roku. Trzy pierwsze miesiące roku obfitowały w ważne incydenty, zwłaszcza te dotyczące cyberszpiegostwa i cyberbroni.


Na samym początku roku Kaspersky Lab opublikował główny raport zawierający wyniki badania trwającego od pięciu lat programu globalnych operacji cyberszpiegowskich. Kampania ta otrzymała kryptonim Czerwony Październik. Celem ataków były różne agencje rządowe, organizacje dyplomatyczne oraz firmy na świecie. Czerwony Październik potrafił kraść dane nie tylko ze stacji roboczych, ale również z urządzeń mobilnych, gromadzić dane ze sprzętu sieciowego, zbierać pliki z urządzeń USB, kraść bazy e-mail z lokalnych archiwów Outlooka lub ze zdalnych serwerów POP/IMAP oraz wypakowywać pliki z lokalnych serwerów FTP w internecie.

W lutym pojawił się nowy szkodliwy program, nazwany MiniDuke. Przeszukiwał on systemy, wykorzystując lukę 0-day w programie Adobe Reader (CVE-2013-0640). Eksperci z Kaspersky Lab wraz z węgierską firmą CrySys Lab prześledzili wydarzenia związane z tym szkodliwym oprogramowaniem i okazało się, że ofiarami MiniDuke’a były agencje rządowe na Ukrainie, w Belgii, Portugali, Rumunii, Czechach oraz Irlandii, organizacje badawcze na Węgrzech, a także instytut badawczy, dwa naukowe centra badawcze oraz ośrodki medyczne w Stanach Zjednoczonych. W sumie zarejestrowano 59 ofiar w 23 krajach.

W lutym pojawił się także obszerny raport PDF firmy Mandiant na temat serii ataków dokonanych przez grupę chińskich hakerów działających pod nazwą APT1. Według raportu, grupa APT1 może być oddziałem chińskiej armii. Pekin nie po raz pierwszy został oskarżony o współudział w cyberatakach na agencje rządowe i organizacje z innych krajów. Nie jest jednak zaskoczeniem, że chiński rząd odrzuca zarzuty opublikowane w raporcie Mandiant.

Pod koniec lutego pojawiły się informacje o zidentyfikowaniu starszej wersji Stuxneta, nazwanej Stuxnet 0.5. Ta wcześniejsza wersja robaka, który zyskał międzynarodową „sławę”, była aktywna między 2007 a 2009 rokiem. Eksperci wielokrotnie podkreślali, że istniały (lub wciąż istnieją) wcześniejsze wersje tego szkodliwego programu, a Stuxneta 0.5 można uznać za pierwszy niepodważalny dowód potwierdzający tę teorię.

„Pierwszy kwartał 2013 roku przyniósł ogromną liczbę poważnych incydentów związanych z cyberszpiegostwem i cyberbronią. Takie przypadki, które wymagają miesięcy nieustannego śledztwa, zdarzają się w branży antywirusowej dość rzadko. Podobnie jest z wydarzeniami, które nie tracą na powadze nawet trzy lata później - jak na przykład wykrycie robaka Stuxnet” - powiedział Denis Maslennikow, starszy analityk szkodliwego oprogramowania, Kaspersky Lab. „Mimo że robak ten był analizowany przez wielu dostawców rozwiązań antywirusowych, wciąż istnieje wiele jego modułów, którym przyjrzeliśmy się zbyt pobieżnie albo których nie przeanalizowaliśmy jeszcze w ogóle. Przypadek Stuxneta w wersji 0.5 dostarczył nam nowe informacje o tym szkodliwym programie, ale prawdopodobnie przyszłość przyniesie ich jeszcze więcej. To samo można powiedzieć o innych cyberbroniach wykrytych po Stuxnecie, jak również o szkodliwych programach wykorzystywanych w cyberszpiegostwie — wciąż jeszcze nie wiemy zbyt wielu rzeczy”.

Pierwszy kwartał 2013 roku to także więcej ataków ukierunkowanych przeciwko tybetańskim i ujgurskim aktywistom. Wygląda również na to, że osoby przypuszczające ataki używają wszystkiego, co tylko mogą, aby dopiąć swego. Ich celem byli głównie użytkownicy systemów OS X, Windows oraz Android.

W 2011 roku byliśmy świadkami masowych ataków hakerskich na różne firmy i kilku poważnych wycieków danych. Może się wydawać, że te ataki spełzły na niczym, ale nic bardziej mylnego. Cyberprzestępcy jak zawsze są zainteresowani hakowaniem dużych firm i uzyskaniem dostępu do poufnych danych, łącznie z informacjami użytkowników. W pierwszym kwartale 2013 wśród ofiar znalazły się takie firmy jak Apple, Facebook, Twitter czy Evernote.

W pierwszym kwartale 2013 roku pojawiły się także liczne incydenty w kwestii zagrożeń mobilnych. Jeśli chodzi o wirusy mobilne, styczeń był stosunkowo spokojny. Dla odmiany w kolejnych dwóch miesiącach firma Kaspersky Lab wykryła ponad 20 000 nowych modyfikacji mobilnego szkodliwego oprogramowania, co stanowi mniej więcej połowę wszystkich próbek malware wykrytych w całym 2012 roku.




Istotne zmiany można zauważyć w rozkładzie geograficznym szkodliwych usług hostingowych - Rosja spadła z pierwszego miejsca (19%, -6 proc.), zamieniając się ze Stanami Zjednoczonymi (25%, +3 proc.). Sytuacja innych krajów prawie nie zmieniła się od czwartego kwartału 2012 roku.

W rankingu najczęściej występujących luk nie odnotowano znaczących zmian. Na szczycie wciąż znajduje się Java – luki w tym oprogramowaniu zawierało ponad 45% komputerów. Eksperci z Kaspersky Lab odnotowali w pierwszym kwartale 2013 r. średnio osiem różnych prób ataków na każdym komputerze.

Pełny raport poświęcony ewolucji zagrożeń w pierwszym kwartale 2013 r. jest dostępny w serwisie SecureList.pl prowadzonym przez Kaspersky Lab: http://securelist.pl/analysis/7219,ewolucja_zagrozen_it_i_kwartal_2013.html.

Informację oraz raport można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.