Bezpieczeństwo IT 2011

Przeczytaj także: Zaawansowane ataki hakerskie w Europie 2013

3. Złożone, długotrwałe działania ukierunkowane

Ze złożonymi, długotrwałymi działaniami przeciwko konkretnym osobom lub firmom mieliśmy do czynienia w przypadku ataku, którego ofiarą padła firma RSA, lub incydentów pod intrygującymi nazwami, takimi jak operacje Night Dragon, Lurid oraz Shady Rat. Co ciekawe, w przypadku wielu z tych operacji nie można użyć słowa „zaawansowane”. Z drugiej strony, w wielu przypadkach wykorzystano exploity zero-day, np. podczas ataku na RSA. W tym przypadku, osoby atakujące wykorzystały CVE-2011-0609 – lukę z zabezpieczeniach odtwarzacza Adobe Flash Player – w celu uruchomienia szkodliwego kodu na atakowanej maszynie. Inną interesującą luką zero-day była luka CVE-2011-2462 (w programie Adobe Reader), wykorzystana w atakach ukierunkowanych na firmę ManTech. Ataki te wyróżniają się kilkoma elementami: w wielu przypadkach wykorzystane zostały luki zero-day w oprogramowaniu Adobe; cele wielu ataków znajdowało się w Stanach Zjednoczonych, w szczególności były to firmy współpracujące z amerykańskim wojskiem lub rządem. Wyjątkiem był tu atak Lurid, którego celem były głównie państwa z Europy Wschodniej, takie jak Rosja czy Wspólnota Niepodległych Państw. Ataki te potwierdzają, że szpiegostwo cybernetyczne stanowi powszechną praktykę. Ponadto, wiele z nich wydaje się być powiązanych ze sobą, a ich skutki są poważne i odczuwane globalnie. Na szczególną uwagę zasługuje atak na RSA, ponieważ osoby atakujące ukradły bazę tokenów SecurID, która później została wykorzystana w innym głośnym ataku.

4. Incydenty z udziałem Comodo i DigiNotar

15 marca 2011 roku ofiarą ataku cyberprzestępczego padł jeden z oddziałów Comodo - firmy produkującej oprogramowanie bezpieczeństwa oraz generującej certyfikaty cyfrowe SSL. Osoba atakująca szybko wykorzystała istniejącą infrastrukturę, aby wygenerować dziewięć fałszywych certyfikatów cyfrowych dla stron internetowych, takich jak mail.google.com, login.yahoo.com, addons.mozilla.com oraz login.skype.com. Podczas analizy incydentu firma Comodo zdołała ustalić, że haker przeprowadził atak z adresu IP 212.95.136.18 w Teheranie, w Iranie. Jednak pod względem rozmiaru atak ten był nieporównywalnie mały w stosunku do incydentu, którego ofiarą padł DigiNotar. 17 czerwca 2011 r. cyberprzestępcy zaczęli majstrować przy serwerach DigiNotar i w ciągu następnych pięciu dni zdołali uzyskać dostęp do jego infrastruktury i wygenerować ponad 300 fałszywych certyfikatów. Haker zostawił wiadomość w postaci cyfrowego certyfikatu zawierającego tekst w języku perskim: „Great hacker, I will crack all encryption, I break your head!” Na potwierdzenie tropu irańskiego kilka dni później certyfikaty te zostały wykorzystane w ataku „man-in-the-middle” na ponad 100 000 użytkowników Gmaila z Iranu. Ataki na Comodo i DigiNotar sprawiły, że zaufanie do centrów certyfikacji spadło. W przyszłości ataki na takie instytucje mogą być bardziej rozpowszechnione. Ponadto, istnieje prawdopodobieństwo, że pojawi się więcej szkodliwych programów z podpisem cyfrowym.

5. Duqu

W czerwcu 2010 roku analityk Sergiej Ulasen z białoruskiej firmy VirusBlokada odkrył interesujący szkodliwy program, który zdawał się wykorzystywać skradzione certyfikaty do podpisu swoich sterowników oraz exploita zero-day wykorzystującego pliki .lnk w celu replikacji w typowy sposób opierający się na funkcji Autorun. Szkodnik ten – stanowiący robaka komputerowego o bardzo specyficznej szkodliwej funkcji wymierzonej bezpośrednio przeciwko irańskiemu programowi nuklearnemu - stał się znany na całym świecie pod nazwą Stuxnet. Robak “porwał” programowalne sterowniki Siemensa w irańskiej elektrowni w Natanz i przeprogramował je w bardzo specyficzny sposób, wskazujący na jeden cel: sabotaż procesu wzbogacania uranu w Natanz. Gdy zobaczyłem wtedy kod przeprogramowujący sterowniki odpowiedzialne za kontrolę wirówek w elektrowni pomyślałem, że nie można napisać czegoś takiego bez dostępu do oryginalnych schematów oraz kodu źródłowego. Ale w jaki sposób osoby atakujące mogły zdobyć tak poufne informacje, jak specyficzny kod kontrolujący wartą miliard dolarów elektrownię?

Jedną z możliwych odpowiedzi kryje trojan Duqu. Stworzony przez tę samą grupę osób, które stały za Stuxnetem, Duqu został wykryty w sierpniu 2011 roku przez węgierskie laboratorium badawcze CrySyS. Początkowo, nie było wiadomo, w jaki sposób Duqu infekował swoje cele. Później ustalono, że Duqu przenikał do systemu za pośrednictwem szkodliwych dokumentów Word wykorzystujących lukę CVE-2011-3402.