KasperskyLab: ataki hakerskie na firmy 2013

Przeczytaj także: Zagrożenia internetowe I kw. 2013

Luki w zabezpieczeniach i exploity

Cyberprzestępcy aktywnie wykorzystują exploity dla znanych luk w zabezpieczeniach oprogramowania.

Sławny szkodnik o nazwie Red October wykorzystywał co najmniej trzy różne exploity dla znanych luk w zabezpieczeniach pakietu Microsoft Office: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) oraz CVE-2012-0158 (MS Word). Nettraveler wykorzystywał exploita dla luki CVE-2013-2465, która znajduje się w wersjach 5, 6 i 7; dziura ta została załatana przez Oracle dopiero w czerwcu 2013 r.

Jednak najgroźniejsze są tzw. luki zero-day, czyli dziury, których producent oprogramowania nie jest jeszcze świadomy. Cyberprzestępcy aktywnie przeszukują popularne programy w celu znalezienia nieznanych luk i tworzą dla nich exploity. Jeżeli oprogramowanie zawiera taką lukę, zostanie ona najprawdopodobniej wykorzystana.

Technologie

Cyberprzestępcy nieustannie udoskonalają szkodliwe oprogramowanie, wykorzystując niekonwencjonalne podejście i rozwiązania w celu kradzieży informacji.

Red October, po zagnieżdżeniu się w systemie, działał jako wielofunkcyjna platforma modułowa. W zależności od założonego celu dodawał do zainfekowanego systemu różne moduły. Każdy z tych modułów wykonywał określony zestaw działań: od gromadzenia informacji na temat zainfekowanego komputera oraz jego infrastruktury sieciowej po kradzież różnych haseł, rejestrowanie wciskanych klawiszy, samodzielne rozprzestrzenianie się, wysyłanie skradzionych informacji itp.

Warto wspomnieć, że cyberprzestępcy wykorzystali również rozwój technologii mobilnych i rozpowszechnienie urządzeń przenośnych w środowiskach korporacyjnych. Współczesny smartfon lub tablet to w rzeczywistości pełnoprawny komputer przechowujący ogromną ilość danych, przez co stanowi potencjalny cel cyberprzestępców. Twórcy szkodnika Red October opracowali wyspecjalizowane moduły określające, kiedy smartfony działające pod kontrolą systemu Apple iOS, Windows Mobile oraz telefony komórkowe produkowane przez firmę Nokia łączą się z zainfekowaną stacją roboczą, kopiują z niej dane i wysyłają je na serwer kontroli (C&C).

Twórcy zagrożenia Kimsuky zintegrowali ze swoim szkodnikiem cały moduł potrafiący zdalnie zarządzać zainfekowanymi systemami. Co ciekawe, uczynili to z pomocą TeamViewera, legalnego narzędzia do zdalnego zarządzania, poprzez wprowadzenie niewielkich modyfikacji do jego kodu. Dzięki temu operatorzy mogli ręcznie połączyć się z zainfekowanymi komputerami w celu zebrania i skopiowania interesujących ich informacji.

Grupa hakerska Winnti ukradła certyfikaty cyfrowe z korporacyjnych sieci producentów gier online i wykorzystała je do podpisania swojego szkodliwego sterownika, infekując następnie inne firmy. Certyfikat cyfrowy został skradziony między innymi z południowokoreańskiej firmy KOG. Poinformowaliśmy firmę o kradzieży i fałszywy certyfikat został anulowany.

Poniżej anulowany certyfikat:

Ponadto, 64-bitowy kod szkodnika zawierał moduł w pełni funkcjonalnego trojana. Jest to pierwszy znany nam przypadek wykorzystania 64-bitowego szkodliwego programu z ważnym podpisem cyfrowym należącym do legalnej firmy.

Program spyware o nazwie Miniduke wykorzystywał Twittera do otrzymywania informacji z serwerów kontroli (C&C). Operatorzy Miniduke’a wykorzystywali specjalne konta w celu publikowania specjalnie stworzonych tweetów, które obejmowały zaszyfrowany adres URL serwera kontroli.

Trojan czytał Twittera na zainfekowanym komputerze i wykorzystywał adres do łączenia się z centrum kontroli.