Zagrożenia internetowe I kw. 2012

Przeczytaj także: Ataki DDoS II poł. 2011

Wnioski

Początek 2012 r. charakteryzował się zmianą jakościową w ekosystemie botnetów. Botmasterzy, którzy zaczęli odczuwać „natłok” w świecie Windowsa, aktywnie atakowali segment mobilny i Mac OS. Niestety niewielu użytkowników zdaje sobie sprawę, że ich smartfony to w pełni funkcjonalne komputery zawierające cenne dane, którymi mogą zainteresować się cyberprzestępcy. W przypadku użytkowników systemu Mac OS X, sytuacja jest bardziej skomplikowana: najpierw producent przez dłuższy czas utrzymywał, że nie istnieje szkodliwe oprogramowanie dla tego systemu, następnie twierdził, że Maki są bezpieczniejsze niż komputery PC.

Mobilne urządzenia oraz Maki są bardzo atrakcyjne dla cyberprzestępców. Oprócz ograniczonej konkurencji w tym segmencie duża część urządzeń mobilnych i Maków działa bez rozwiązania bezpieczeństwa. W pierwszym kwartale 2012 r. wykryto ponad 5 000 szkodliwych programów dla Androida – o jedną trzecią więcej niż w ostatnim kwartale. W tym samym okresie wykryto ponad 70 szkodliwych programów dla systemu Mac OS X, dwukrotnie więcej niż w IV kwartale 2011 r. W tym roku liczba zagrożeń atakujących urządzenia domowe z tych dwóch segmentów prawdopodobnie nadal będzie szybko rosnąć.

Jedną z najważniejszych nowości technologicznych analizowanego kwartału był atak bota „bezplikowego”, który wykonywał wszystkie swoje funkcje w pamięci RAM bez tworzenia jakichkolwiek plików na dysku twardym. To utrudniło wykrycie tego szkodliwego oprogramowania. Chociaż bot pozostawał na komputerze tylko do czasu powtórnego uruchomienia maszyny, fakt, że był on rozprzestrzeniany za pośrednictwem sieci banerów reklamowych wykorzystywanej przez popularne, legalne strony, sprawia, że kolejne infekcje, a tym samym duża liczba aktywnych botów, jest bardzo prawdopodobna. Kaspersky Lab podjął szybkie działanie we współpracy z właścicielem sieci banerów w celu opanowania tego ataku. Ponieważ atak ten nie jest możliwy bez użycia exploitów, tylko łatanie na czas w połączeniu z ochroną antywirusową może pomóc zabezpieczyć komputery przed tym zagrożeniem.

W świetle powyższych informacji bezpieczeństwo mobilnej platformy iOS pozostaje otwartą kwestią. Firma Apple egzekwuje polityki, które bardzo utrudniają rozprzestrzenianie szkodliwego kodu za pośrednictwem App Store. Z drugiej strony, twórcy nie mogą stworzyć rozwiązań, które zapewnią skuteczną ochronę przed potencjalnymi atakami. Jeżeli cyberprzestępcy zaatakują urządzenia mobilne w oparciu o wypróbowany scenariusz dla Windowsa, w którym ataki drive-by prowadzą do exploitów wykonujących losowy kod w systemie, użytkownicy sami będą musieli poradzić sobie ze szkodliwym oprogramowaniem na swoim urządzeniu. Wszystkie warunki techniczne dla tego scenariusza zostały obecnie spełnione.

W naszym przeglądzie ewolucji szkodliwego oprogramowania w 2011 r. pisaliśmy, że cyberprzestępcy będą szukali nowych sposobów przeprowadzania ataków ukierunkowanych. Niestety, przewidywania te szybko okazały się słuszne: w pierwszym kwartale 2012 r. zostało wykryte szkodliwe oprogramowanie dla systemu Mac OS X, które było wykorzystywane w atakach ukierunkowanych. Warto zauważyć, że na pierwszym etapie osoby atakujące wykorzystały exploita dla maszyny wirtualnej Javy, który może zostać zainstalowany na praktycznie każdej platformie. Wykryte szkodliwe oprogramowanie okazało się backdoorem, tj. programem, który umożliwiał osobom atakującym uzyskanie pełnego dostępu do zainfekowanych Maków. Korporacyjni użytkownicy Maków, którzy są przekonani, że ich komputery są „poza podejrzeniem” i dlatego nie posiadają żadnych rozwiązań bezpieczeństwa zainstalowanych na swoich komputerach, narażają na niebezpieczeństwo całą sieć korporacyjną. Istnieje duże prawdopodobieństwo, że w tym roku pojawi się więcej ataków ukierunkowanych na sieci korporacyjne przeprowadzanych za pośrednictwem systemu Mac OS X.

Wspólne działania organów ścigania i firm IT przynoszą efekty. W pierwszym kwartale w Stanach Zjednoczonych zostały zdjęte serwery kontroli kilku botnetów ZeuSa oraz przejęto kontrolę nad botnetem Hlux.b. Aresztowano kilka grup i osób indywidualnych, łącznie z autorami mobilnego szkodliwego oprogramowania Foncy we Francji, kilkoma grupami cyberprzestępców odpowiedzialnych za trojany bankowe Carberp w Rosji oraz niesławnym hakerem TinHole, jak również kilkoma hakerami z grupy Anonymous w Rumunii.

Sukcesy te powinny stanowić sygnał ostrzegawczy dla cyberprzestępców. Spodziewamy się, że w najbliższej przyszłości liczba ataków na użytkowników domowych stopniowo ustabilizuje się.