Ewolucja złośliwego oprogramowania 2008

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2008

2008 rok w skrócie

W 2008 roku zakończyła się epoka epidemii. W okresie tym, trwającym od 2000 r. i charakteryzującym się dużą liczbą robaków (które początkowo rozprzestrzeniały się za pośrednictwem poczty elektronicznej, a następnie ataków sieciowych), największe nasilenie epidemii miało miejsce w latach 2003-2005.

Lata 2007-2008 to okres, który cechował się szybkim wzrostem liczby programów trojańskich tworzonych w celu kradzieży informacji, głównie dotyczących kont bankowych oraz gier online. W okresie tym w przemyśle tworzenia szkodliwego oprogramowania widoczny jest wyraźny "podział pracy": różne grupy osób uczestniczą w różnych etapach rozwoju produktu związanych z tworzeniem, dystrybucją i wykorzystywaniem szkodliwych programów. Biznes cyberprzestępczy przekształcił się w sieć usług, jakie oferują sobie wzajemnie cyberprzestępcy.

Zdaniem Kaspersky Lab wielu zapamięta rok 2007 jako ten, w którym nastąpił upadek tak zwanego niekomercyjnego szkodliwego oprogramowania. Z kolei w 2008 roku wymarły "ekskluzywne" szkodliwe programy, tzn. takie, które były tworzone i wykorzystywane przez jedną lub dwie osoby. Większość trojanów i wirusów wykrytych w 2008 roku zostało stworzonych wyłącznie na sprzedaż. W tym samym czasie twórcy szkodliwego oprogramowania oferowali również usługi wsparcia technicznego. Doradzali między innymi, jak obejść ochronę antywirusową, gdyby produkty antywirusowe zaczęły wykrywać określone pliki.

Światowym liderem w dziedzinie rozwoju szkodliwych programów zostały Chiny. Chińscy hakerzy nie ograniczali się do tworzenia własnych programów trojańskich, ale zaczęli również lokalizować obce (głównie rosyjskie) szkodliwe programy. Stworzyli między innymi chińskie wersje popularnych exploitów, takich jak IcePack, FirePack czy MPack, oraz zlokalizowali kilka wariantów trojanów Pinch i Zeus. Ponadto, chińscy cyberprzestępcy nadal aktywnie poszukiwali luk w zabezpieczeniach popularnego oprogramowania, w szczególności Microsoft Office oraz Microsoft Windows. Ich działania okazały się stosunkowo skuteczne a największym osiągnięciem okazało się zidentyfikowanie luki w zabezpieczeniach NetAPI Windows. W rezultacie, koniec 2008 roku charakteryzował się dużą liczbą ataków wykorzystujących lukę w zabezpieczeniach MS08-067.

Między kwietniem a październikiem 2008 roku przeprowadzono dwa masowe ataki hakerów na strony internetowe, które nie miały sobie równych w historii Internetu. W pierwszym z nich (kwiecień-czerwiec 2008) zaatakowane zostały ponad dwa miliony zasobów internetowych na całym świecie. Hakerzy wykorzystali wstrzykiwanie SQL w celu osadzania poleceń w kodzie zaatakowanej strony, które przekierowywało użytkowników na strony cyberprzestępców. Te z kolei infekowały komputery użytkowników szkodliwym oprogramowaniem.

Mimo to w 2008 roku trendy ustanawiali głównie rosyjskojęzyczni twórcy wirusów. Nadal agresywnie wykorzystywali model Malware 2.0, który charakteryzuje się kilkoma głównymi cechami: po pierwsze, różne szkodliwe moduły wykonują różne funkcje; po drugie, w celu zapewnienia komunikacji pomiędzy modułami wykorzystywane są standardowe środki; po trzecie, kanały transmisji danych oraz centra kontroli są zabezpieczone przed penetracją.

Najlepszym przykładem ilustrującym to zjawisko były dwa niebezpieczne rootkity wykryte w 2008 roku - Rustock.c (zaklasyfikowany przez firmę Kaspersky Lab jako Virus.Win32.Rustock.A) oraz Sinowal (Bootkit). Rootkity te zawierały przełomowe technologie, które wcześniej nie były znane w branży antywirusowej. Pod względem rozmiaru i złożoności struktura tych dwóch szkodliwych programów przewyższała tę stworzoną dla robaków Zhelatin i Warezov.