Zagrożenia internetowe III kw. 2010

Przeczytaj także: Zagrożenia internetowe II kw. 2010

Trzeci kwartał 2010 roku obfitował w więcej wydarzeń niż poprzedni. W okresie tym zablokowano ponad 600 milionów prób zainfekowania komputerów użytkowników szkodliwymi lub potencjalnie niechcianymi programami, co stanowi 10% wzrost w stosunku do drugiego kwartału. Z wszystkich wykrytych obiektów ponad 534 milionów stanowiło szkodliwe programy. Ponadto, pojawiły się wysoce zaawansowane szkodliwe programy. Po raz pierwszy zidentyfikowaliśmy szkodnika, który w celu wniknięcia do systemu wykorzystywał nie jedną ale pięć luk w zabezpieczeniach jednocześnie. Wygląda na to, że twórcy tego programu wyposażyli go w mechanizm samodzielnego rozprzestrzeniania się, który radykalnie zwiększał jego szanse na zainfekowanie celu.

Twórcy szkodliwego oprogramowania aktywnie badali technologie antyhakerskie, co zaowocowało odkryciem nowych metod obchodzenia ochrony. Spowodowało to eskalację wyścigu zbrojeń między cyberprzestępcami a firmami zajmującymi się bezpieczeństwem IT, a w konsekwencji zmusiło branżę antywirusową do aktywnego tworzenia nowych technologii wykrywania i leczenia.

To z kolei zwiększyło rywalizację w segmentach „podziemia” stanowiących tradycyjny cel cyberprzestępców, uszczuplając ich zyski i popychając „profesjonalistów” do poszukiwania nowych źródeł nielegalnych dochodów. Wygląda na to, że społeczność cyberprzestępcza stopniowo staje się zorientowana na przeprowadzanie ukierunkowanych ataków na organizacje. Celem tych ataków jest zakłócenie pracy organizacji w celu szantażu lub szpiegostwa przemysłowego – jakiejkolwiek aktywności, która przyniesie duże zyski.

Cyberchuligani, cyberszantażyści, cyberszpiedzy – co dalej?

Jeden z najważniejszych incydentów trzeciego kwartału w branży bezpieczeństwa IT mógłby pochodzić ze sceny z filmu „Szklana Pułapka 4”. Mowa tu o ataku robaka Stuxnet.

Robak ten został po raz pierwszy wykryty na początku czerwca i od razu przyciągnął uwagę specjalistów ds. bezpieczeństwa IT z całego świata. Spowodowało to kilka czynników. Po pierwsze, komponenty robaka zawierały ważne certyfikaty cyfrowe. To oznaczało, że jego twórcy, przy pomocy nielegalnych środków, zdołali uzyskać prywatne klucze dla cyfrowych certyfikatów od znanych firm. Po drugie, robak rozprzestrzeniał się za pomocą luki zero-day w plikach LNK. Tyle można było zauważyć na pierwszy rzut oka. Jednak analitycy dokonali innych interesujących odkryć, między innymi to, że Stuxnet wykorzystywał trzy luki zero-day.

Analiza kodu robaka pokazała, że jego celem były środowiska Windows z określonymi programami, w tym SIMATIC, WinCC oraz PCS7 firmy Siemens AG. Żadne inne szkodliwe oprogramowanie nie atakowało wcześniej tych programów, które zwykle są wykorzystywane do zarządzania przemysłowymi systemami sterowania opartymi na SCADA. Ponadto, Stuxnet nie atakuje wszystkich systemów z WinCC, a jedynie te, które wykorzystują sterowniki programowalne Simatec i inwertery określonych producentów.

A zatem, co robi komponent robaka zawierający tę szkodliwą funkcję? Próbuje połączyć się z WinCC przy użyciu domyślnego hasła producenta. Instalowany przez robaka plik DLL przechwytuje niektóre funkcje systemowe, a następnie wpływa na operacje w systemie zarządzania instalacji przemysłowej. Najwyraźniej szkodnik ten został stworzony do przeprowadzania szpiegostwa przemysłowego, a nie kradzieży haseł, jednak teoretycznie może być wykorzystywany do dywersji. Dalsza analiza robaka wykazała, że jego głównym celem jest zmiana logiki w sterownikach programowalnych Simatec osadzonych w inwerterach wykorzystywanych do kontrolowania prędkości obrotów silników elektrycznych. Takie sterowniki programowalne działają z bardzo szybkimi silnikami, które posiadają ograniczone zastosowania.