Kaspersky Lab: szkodliwe programy III kw. 2013

Przeczytaj także: Kaspersky Lab: szkodliwe programy II kw. 2013

Ten przypadek aresztowania cyberprzestępców jest uznawany za jeden z najważniejszych w ostatnim czasie, zaraz po aresztowaniu członków gangu Carberp w marcu i kwietniu tego roku. O ile w przypadku grupy Carberp kod źródłowy został udostępniony publicznie, nadal nie wiadomo, jaki los spotka Blackhole: być może zniknie, a być może zostanie przejęty przez innych cyberprzestępców lub zastąpiony konkurencyjnymi zestawami exploitów.

Pojawienie się nowego botnetu routerów

We wrześniu tego roku Heise poinformował o wykryciu nowego botnetu składającego się z routerów. Routery stanowią podstawę każdej sieci domowej, a ich infekcja ma wpływ na wszystkie podłączone do nich urządzenia – komputery PC, komputery Mac, tablety, smartfony, a nawet inteligentny telewizor. Bot o nazwie Linux/Flasher.A “wyłuskuje” wszelkie dane uwierzytelniające logowanie przesyłane z dowolnego urządzenia. Infekcja następuje poprzez lukę w zabezpieczeniach serwera sieciowego routerów zawierającego oprogramowanie sprzętowe dla routerów DD-WRT. Niewłaściwie utworzone zapytanie HTTP prowadzi do wykonania dowolnego kodu. “Zdobycz” w postaci przechwyconych danych uwierzytelniających logowanie jest następnie przesyłana do zhakowanych serwerów sieciowych.

Luka wykorzystywana przez Flasher.a została zidentyfikowana w 2009 roku i mimo że wypuszczono dla niej łatę, ponad 25 000 urządzeń nadal nie jest bezpiecznych, jak podaje Heise. Wskazuje to na poważne zagrożenie związane z routerami: oprogramowanie sprzętowe (tzw. firmware) rzadko bywa aktualizowane przez użytkowników, przez co stają się oni łatwym celem w przypadku wykrycia nowych luk w zabezpieczeniach.

Bezpieczeństwo sieciowe i incydenty naruszenia ochrony danych

Włamanie do niemieckiego Vodafone

W połowie września Vodafone Germany padła ofiarą incydentu naruszenia bezpieczeństwa danych, w którym osoba atakująca skopiowała dwa miliony rekordów zawierających dane dotyczące klientów. Rekordy te zawierały nie tylko nazwiska i adresy, ale również szczegóły bankowe. Na podstawie zakresu skradzionych danych i pozostawionych śladów Vodafone podejrzewa, że była to robota kogoś z wewnątrz. Szybko zidentyfikowano podejrzanego, jednak do ataku przyznało się ugrupowanie hakerskie o nazwie Team_L4w, twierdząc, że jeden z ich członków użył zainfekowanego urządzenia USB w celu zainfekowania maszyny pracownika Vodafone.

Vodafone zawiadomił o incydencie wszystkich klientów, którzy ucierpieli na jego skutek. Firma stworzyła również forum internetowe, za pomocą którego klienci mogą sprawdzić, czy została naruszona prywatność ich danych.

Atak hakerski na Apple Developer Area

W lipcu Apple na ponad trzy tygodnie “zdjął” z sieci swój portal Apple Developer, po tym jak haker uzyskał dostęp do informacji osobowych zarejestrowanych na nim programistów. Sprawca i sposób przeprowadzenia ataku nadal pozostają nieznane i istnieje kilka możliwych wyjaśnień. Niedługo po ujawnieniu tego incydentu rzekomy konsultant ds. bezpieczeństwa opublikował film w serwisie YouTube, w którym przyznał się do przeprowadzenia ataku.

Jak twierdzi, skopiował ponad 100 000 rekordów z baz danych firmy Apple, które obiecał skasować, i wykorzystał błąd cross-site scripting w portalu Apple Developer. Następnie przekazał 19 rekordów gazecie Guardian, która ustaliła, że niektóre adresy były nieważne, a pozostałe wydawały się nieaktywne. To rzuciło cień wątpliwości na jego wyznanie.

Co ciekawe, dwa dni przed tym, jak Apple zdjął portal dla programistów, na forach Apache ktoś opublikował wiadomość o nowej luce. Oprócz podania szczegółów udostępnił również w całości działającego exploita. Według chińskiej strony internetowej, doprowadziło to do przeprowadzonych na dużą skalę ataków – w których Apple stanowił zaledwie jedną z wielu ofiar.