Kaspersky Lab: szkodliwe programy IX 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy VIII 2011

Eksperci z Kaspersky Lab zdołali uzyskać próbki szkodliwego oprogramowania użytego podczas ataku. Możemy stwierdzić, że atak został starannie zaplanowany i przeprowadzony. Był on wykonywany zgodnie ze znanym scenariuszem: pod koniec lipca kilku pracowników firmy Mitsubishi otrzymało od cyberprzestępców wiadomości e-mail zawierające plik PDF, który był szkodliwym programem wykorzystującym do infekcji luki w programie Adobe Reader. Szkodliwy moduł został zainstalowany natychmiast po otwarciu pliku, w wyniku czego cyberprzestępcy uzyskali pełny zdalny dostęp do systemu. Następnie z zainfekowanego komputera atakujący dokonali głębszej infekcji sieci firmy, łamiąc serwery i zbierając informacje, które następnie zostały przesłane na kontrolowany przez nich serwer. W ataku użyto około tuzina różnych szkodliwych programów, z których niektóre zostały stworzone z myślą o wewnętrznej sieci firmy.

W tej chwili nie można stwierdzić, jakie dokładnie informacje zostały skradzione, ale prawdopodobnie zaatakowane komputery zawierały poufne dane o znaczeniu strategicznym.

Lurid

Potencjalnie bardziej poważny incydent został odkryty przez Trend Micro podczas badania wykonanego przez ekspertów tejże firmy. Udało im się przechwycić żądania do kilku serwerów, używanych do kontrolowania sieci 1 500 zaatakowanych komputerów znajdujących się głównie w Rosji, krajach byłego ZSRR oraz krajach Europy Wschodniej. Incydent ten otrzymał nazwę Lurid.

Dzięki naszym kolegom z Trend Micro mogliśmy przeprowadzić analizę listy ofiar z Rosji. Analiza wykazała, że mamy do czynienia z atakiem skierowanym przeciwko bardzo specyficznym organizacjom. Atakujący byli zainteresowani przemysłem kosmicznym, instytucjami badań naukowych, kilkoma firmami komercyjnymi, organami państwowymi i agencjami związanymi z mediami.

Lurid był skierowany jednocześnie na firmy z kilku krajów i został zapoczątkowany w marcu tego roku. Podobnie jak w ataku na Mitsubishi, także i w tym przypadku na początku rozsyłane były wiadomości e-mail. W przypadku Lurida również ciężko jest wskazać faktyczną liczbę i wartość skradzionych danych, chociaż lista celów sama mówi za siebie.

Lekcja z przeszłości: 10 rocznica robaka Nimdah

Jednym z najbardziej znaczących zagrożeń początku XXI wieku jest robak Nimda. 10 lat temu używał on rozmaitych metod do infekowania komputerów i serwerów, ale najbardziej znaczące infekcje, które okazały się światową epidemią, były rozpowszechniane w załącznikach wiadomości e-mail. 18 września 2001 roku cyberprzestępcy wysłali wiadomości z załącznikami zawierającymi szkodliwy plik wykonywalny. W tym czasie było to nowością i niczego niepodejrzewający użytkownicy uruchamiali aplikację znajdującą się w e-mailu. W dzisiejszych czasach prawie każdy użytkownik jest świadomy ryzyka, jakie niesie nie tylko uruchamianie programu z wiadomości spamowej, ale także klikanie odnośników w wiadomościach od nieznanych nadawców.

Może przez ostatnie 10 lat taktyki uległy zmianie, ale wiadomości e-mail wciąż pozostają jedną z najpopularniejszych metod rozpowszechniania szkodliwych programów. Cyberprzestępcy są bardziej przebiegli niż 10 lat temu i wykorzystują luki w popularnych programach. Użytkownicy zazwyczaj kojarzą pliki posiadające rozszerzenia .doc, .pdf, oraz .xls z dokumentami zawierającymi tekst i tabele, co nie wzbudza ich podejrzeń.

Producenci aplikacji regularnie tworzą uaktualnienia usuwające luki w ich produktach, jednak wielu użytkowników nie aktualizuje oprogramowania zainstalowanego na swoich komputerach, a cyberprzestępcy z chęcią to wykorzystują. Większość użytkowników nieufnie podchodzi do wiadomości od nieznajomych. Dlatego też, gdy komputer zostanie zainfekowany, cyberprzestępcy kradną informacje pozwalające im podszywać się pod innych ludzi. Mogą to być dane dostępowe do kont pocztowych, serwisów społecznościowych, czy komunikatorów internetowych. Wiadomości e-mail są także często wykorzystywane w atakach przeprowadzanych na organizacje.