Kaspersky Lab: szkodliwe programy VIII 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy VII 2011

Dokładniejsza analiza artykułu firmy McAfee jeszcze bardziej zagmatwała sprawę. Po pierwsze, utrzymywany przez szkodliwego użytkownika serwer, który został rzekomo „wykryty przez analityków”, był w rzeczywistości znany ekspertom z wielu innych firm antywirusowych już od kilku miesięcy. Po drugie, w momencie publikacji artykułu serwer nadal był aktywny, a wszystkie informacje wykorzystane w raporcie firmy McAfee były już publicznie dostępne. Ponadto, spyware, który rzekomo został wykorzystany w tym „najbardziej złożonym i największym ataku w historii”, był już wcześniej wykrywany przez wiele programów antywirusowych przy użyciu zwykłej heurystyki. Poza tymi i innymi kwestiami, narzucało się jeszcze kilka innych pytań. Pytania te zostały zadane na forum publicznym, między innymi przez ekspertów z Kaspersky Lab.

Nasze badania potwierdziły, że Shady Rat nie był ani najdłuższym, ani największym, ani tym bardziej najbardziej wyrafinowanym atakiem w historii. Co więcej, jesteśmy przeciwni publikowaniu informacji o jakichkolwiek atakach bez pełnego opisu wszystkich wykorzystanych komponentów i technologii, ponieważ takie niekompletne raporty uniemożliwiają ekspertom podjęcie odpowiednich działań w celu zabezpieczenia swoich zasobów.

Publikowanie informacji o tak zwanych zaawansowanych ciągłych zagrożeniach wiąże się z jeszcze większą odpowiedzialnością. Niedawno takie zagrożenia stały się popularnym tematem podejmowanym przez media, występując obok takich terminów jak „cyberwojna” i „cyberbroń”. Istnieje duży rozdźwięk pomiędzy potocznym rozumieniem a rzeczywistym znaczeniem tych terminów. Kwestie związane z terminologią mają jednak drugorzędne znaczenie, w przypadku gdy omawiany problem dotyczy w rzeczywistości szpiegostwa korporacyjnego lub operacji oddziałów specjalnych. W takich przypadkach należy przede wszystkim pamiętać, że jeżeli tego rodzaju incydenty zyskają zbyt duży rozgłos, a ujawnianie informacji nie będzie ściśle koordynowane, mogą ucierpieć na tym prowadzone dochodzenia, a jeszcze bardziej – ofiary ataku.
Sierpniowe incydenty hakerskie

Sierpień okazał się produktywnym miesiącem dla hakerów. Ataki na firmy i agencje rządowe są przeprowadzone na całym świecie. W przeciwieństwie do ataków dokonywanych przez nieznane osoby, w tym roku za wieloma incydentami stały grupy, które zdecydowały się ujawnić, jak np. AntiSec czy Anonymous. Coraz częściej ataki hakerskie są stosowane jako narzędzie walki politycznej. Wszystkie takie incydenty są szeroko relacjonowane w mediach, ponieważ nadanie atakowi rozgłosu jest kluczowe dla propagowania ideologii tzw. “haktywistów”. Biorąc pod uwagę wydarzenia, jakie miały miejsce w tym roku, sierpniowe incydenty hakerskie nie stanowiły, niestety, niespodzianki.

W omawianym okresie wśród ofiar haktywistów znalazła się włoska policja ds. zwalczania cyberprzestępczości, wiele firm współpracujących z organami ścigania w Stanach Zjednoczonych oraz Vanguard - dostawca z branży militarnej, który ma kontrakt z Amerykańskim departamentem obrony. W wyniku ataków upublicznione zostały gigabajty prywatnych informacji, a w przypadku włoskiej policji ds. zwalczania cyberprzestępczości – dokumenty, które wcześniej były prawdopodobnie własnością indyjskiej ambasady w Rosji.

Później w Stanach Zjednoczonych hakerzy zaatakowali system tranzytowy na obszarze San Francisco Bay Area i ukradli dane osobiste dwóch tysięcy pasażerów, które zostały następnie opublikowane. Spośród politycznie umotywowanych ataków hakerskich, które miały miejsce w sierpniu, wyróżniają się incydenty związane z oficjalnymi stronami rządowymi Syrii i Libii, mające związek z zamieszkami cywilnymi w tych krajach.