wtorek, 28 grudnia 2010

600 milionów prób infekcji, Stuxnet i kradzież danych - efekty trzymiesięcznej działalności cyberprzestepców

W trzecim kwartale 2010 roku produkty firmy Kaspersky Lab zablokowały ponad 600 milionów prób zainfekowania komputerów użytkowników szkodliwymi i niechcianymi programami. Stanowi to 10% wzrost w stosunku do drugiego kwartału. Spośród wszystkich zablokowanych obiektów 534 milionów stanowiło szkodliwe programy.


W drugiej połowie roku największe zainteresowanie mediów wzbudziła epidemia Stuxneta, która potwierdziła teorię, według której szkodliwe oprogramowanie bardzo szybko staje się coraz bardziej zaawansowane. Analiza wykazała, że celem tego robaka była zmiana sterowników programowalnych (PLC) osadzonych w inwerterach, które są wykorzystywane do kontrolowania prędkości obrotów silników elektrycznych. Takie sterowniki działają z bardzo szybkimi silnikami, posiadającymi ograniczone zastosowania przemysłowe. Stuxnet to najbardziej złożony szkodliwy program w arsenale cyberprzestępców. Jego epidemia zapoczątkowała erę ataków na cele przemysłowe. O unikatowości Stuxneta świadczy również to, że w celu infekowania komputerów użytkowników wykorzystuje jednocześnie aż cztery luki zero-day w systemie Windows oraz posiada komponent rootkit podpisany certyfikatami skradzionymi od Realtek Semiconductors oraz JMicron.


Certyfikaty oraz podpisy cyfrowe to jedne z filarów, na których opiera się cyberbezpieczeństwo. Podpis cyfrowy odgrywa ważną rolę w potwierdzeniu wiarygodności pliku, w którym został umieszczony. Jednak w 2010 roku odnotowano kilka przypadków legalnego uzyskania cyfrowych certyfikatów przez cyberprzestępców. W jednym z nich grupa cyberprzestępców otrzymała certyfikat dla „oprogramowania do zdalnej obsługi komputera bez graficznego interfejsu”, który w rzeczywistości był backdoorem, czyli programem pozwalającym na zdalne przejęcie kontroli nad zainfekowanym komputerem. Twórcy oprogramowania adware, riskware oraz fałszywych programów antywirusowych często wykorzystują skradzione certyfikaty w celu uniemożliwienia wykrycia swojego szkodliwego oprogramowania. Kradzież certyfikatów jest również jedną z głównych funkcji Zbota (znanego również jako Zeus), szeroko rozpowszechnionego trojana. „Sądząc po tym, co możemy obecnie zaobserwować, problem skradzionych certyfikatów może stać się jeszcze poważniejszy w 2011 roku” – powiedział Jurij Namiestnikow, ekspert z Kaspersky Lab i autor raportu „Ewolucja zagrożeń IT w trzecim kwartale 2010 roku”.


Wykorzystywanie błędów w popularnych programach, tak jak wcześniej, cieszyło się dużą popularnością wśród cyberprzestępców. W kwartalnym rankingu najczęściej wykorzystywanych luk pojawiły się cztery nowe pozycje: dwie z nich dotyczą produktów Adobe Flash Player, jedna programu Adobe Reader, jedna Microsoft Office. Ranking Top 10 zawierał ponadto trzy luki w zabezpieczeniach wykryte w 2009 roku i jedną zidentyfikowaną w 2008 roku. Statystyki te pokazują, że niektórzy użytkownicy zwlekają z aktualizacją oprogramowania nawet przez lata. Wszystkie luki znajdujące się w rankingu pozwalają cyberprzestępcom przejąć pełną kontrolę nad atakowanym systemem.


Według ekspertów z Kaspersky Lab, w najbliższej przyszłości znacznie zwiększy się liczba incydentów dotyczących szkodliwych programów posiadających certyfikaty. Jednak o wiele bardziej niepokojące jest to, że wzrośnie również liczba zaawansowanych szkodliwych programów, które potrafią działać na platformach 64-bitowych. Nie ma wątpliwości również co do tego, że cyberprzestępcy będą coraz szybciej wykorzystywać nowo wykryte luki w zabezpieczeniach.


Wybierając platformy do umieszczenia swojego szkodliwego oprogramowania, cyberprzestępcy preferują zhakowane legalne strony internetowe oraz odporne na ataki hakerów podejrzane strony hostingowe, które nie sprawdzają danych właściciela podczas procesu rejestracji ani nie zwracają uwagi na skargi użytkowników.


Zasoby internetowe zawierające szkodliwe oprogramowanie można znaleźć w niemal wszystkich państwach na całym świecie. Jednak aż 89% wykrytych platform wykorzystywanych do dystrybucji szkodliwego oprogramowania jest zlokalizowanych w 10 państwach.

10 państw z największą liczbą serwerów zawierających szkodliwy kod
  

„Wydarzenia, jakie miały miejsce w trzecim kwartale 2010 roku, pokazują, że znajdujemy się u progu nowej ery w ewolucji cyberprzestępczości” – mówi Jurij Namiestnikow. „Koncepcja masowej infekcji, takiej jak te wywoływane przez robaki Klez, Medoom, Sasser oraz Kido, ustąpi miejsca precyzyjnym atakom”.  

źródło: Kaspersky LAB 

Brak komentarzy:

Prześlij komentarz