Zagrożenia internetowe III kw. 2011

Przeczytaj także: Zagrożenia internetowe I kw. 2011

Możliwość łatwych pieniędzy przyciąga profesjonalistów do Bitcoin

Możliwość zarobienia pieniędzy praktycznie nie kiwnąwszy nawet palcem, zwłaszcza poprzez wykorzystanie komputera innej osoby – to dla cyberprzestępców zbyt dobra okazja, aby z niej nie skorzystać. Pierwsze szkodliwe programy, których celem była kradzież środków z kont na Bitcoinie lub generowanie pieniędzy w systemie, zostały wykryte w drugim kwartale 2011 r. Szkodniki te nie były ani bardzo wyrafinowane, ani szeroko rozpowszechnione. Jednak sytuacja zmieniła się w trzecim kwartale. Zidentyfikowaliśmy kilka incydentów, które sugerują, że ten nielegalny sposób zarabiania pieniędzy przemówił do wyobraźni niektórych doświadczonych cyberprzestępców.

W sierpniu we współpracy z Arbor Networks wykryliśmy szkodliwy program o nazwie Trojan.Win32.Miner.h, którego celem jest tworzenie botnetów P2P. Analiza wykazała, że zbudowana przez ten program sieć składała się z co najmniej 38 000 komputerów, do których można uzyskać dostęp z Internetu. Trzeba jednak pamiętać, że wiele z dzisiejszych komputerów działa „za ruterami” i innymi urządzeniami sieciowymi, dlatego liczba maszyn w botnecie może być znacznie wyższa. Cyberprzestępcy wykorzystują ten botnet do generowania bitcoinów. Po tym, jak zostanie pobrany na komputer, bot uruchamia trzy programy do generowania wirtualnej waluty - Ufasoft, RCP oraz Phoenix – które łączą się z kopalniami bitcoinów w różnych państwach.

Drugi przykład botnetu wykorzystanego do zarabiania pieniędzy na Bitcoinie to znacznie większy TDSS. Na początku sierpnia boty TDSS zaczęły otrzymywać nowy plik konfiguracyjny z programem do wydobywania bitcoinów oraz kopalnią Bitcoin, który w nowej sekcji zawierał nazwę i hasło beneficjenta. Nie było to zbyt mądre posunięcie ze strony cyberprzestępców, ponieważ dodanie nazwy i hasła oraz kopalni Bitcoin do pliku konfiguracyjnego umożliwiało szybkie położenia kresu temu oszustwu. Wkrótce jednak przyjęli bardziej wyrafinowane podejście. W Internecie dostępne jest oprogramowanie open source do tworzenia własnej kopalni - pushpool. Takie oprogramowanie wykorzystali cyberprzestępcy, którzy skonfigurowali je tak, aby pełniło funkcję serwera proxy dla rzeczywistej kopalni Bitcoin. Po połączeniu się z tym serwerem boty TDDS otrzymują losowo wygenerowane nazwy użytkowników oraz hasła do kopalni Bitcoin, po czym rozpoczynają generowanie pieniędzy. Prawdziwa nazwa użytkownika i nazwa kopalni Bitcoin są przechowywane na serwerze proxy, poprzez który dokonywane są wszystkie transakcje. Niestety, w ten sposób nie można się dowiedzieć, do kogo należy kopalnia Bitcoin ani ile bitcoinów zostało wygenerowanych. Według naszych danych, liczba komputerów zainfekowanych TDSS w pierwszym kwartale 2011 roku wynosiła 4,5 milionów. Ponad jedna czwarta takich maszyn jest zlokalizowana w Stanach Zjednoczonych, gdzie powszechnie wykorzystywane są najnowsza technologie komputerowe. Innymi słowy, właściciele TDSS mają do swej dyspozycji bardzo potężne zasoby komputerowe, które są coraz większe.

Trzeba jednak pamiętać, że ten sposób zarabiania pieniędzy podlega wahaniom kursu wymiany walut. W sierpniu botnet opary na trojanie Trojan.Win32.Miner.h zaczął pobierać boty DDoS. Mniej więcej w tym samym czasie przychody z bitcoinów zmniejszyły się na skutek znacznego spadku kursu wymiany walut: na początku sierpnia bitcoin był wart 13 dolarów; pod koniec września – tylko 4,8 dolarów.

Dane osobiste 35 milionów mieszkańców Korei Południowej w rękach hakerów

Jednym z najpoważniejszych incydentów w trzecim kwartale 2011 r. była kradzież danych osobistych należących do 35 milionów użytkowników portalu społecznościowego CyWorld z Korei Południowej. W ręce cyberprzestępców wpadły dane obejmujące imię i nazwisko, adres pocztowy oraz numer telefonu prawie trzech czwartych liczącej 49 milionów populacji tego państwa. Kradzież ta została dokonana w wyniku włamania się do serwerów SK Telecom, właściciela wyszukiwarki Nibu oraz portalu społecznościowego CyWorld.

Jakie mogą być skutki tej kradzieży? Po pierwsze, ich ofiary mogą stać się celem ataków phishingowych i spamowych. Cyberprzestępcy mogą wykorzystać te informacje, aby nakłonić użytkowników do ujawnienia tajemnic firm, dla których pracują. Zagrożonych jest również wiele systemów bezpieczeństwa opartych na danych osobowych, szczególnie tych wykorzystywanych przez banki. Co więcej, sprzedaż skradzionych danych jest popularna na czarnym rynku, gdzie bardziej tradycyjni cyberprzestępcy są zainteresowani tworzeniem fałszywych dokumentów.

Skutki tego ataku mogą dotknąć ponad 70% populacji Korei Południowej! Wiadomość o tym incydencie skłoniła nawet do zmiany polityki rządowej. Wcześniej, na skutek podjętej przez rząd Korei Południowej próby ukrócenia anonimowości w Internecie, przed opublikowaniem czegokolwiek na popularnych stronach użytkownicy musieli podać swoje prawdziwe dane osobowe. Po tak dużym wycieku rząd planuje „wyrzucić do kosza” te przepisy i przywrócić zezwolenie na anonimowość w Sieci.