Kaspersky Lab: szkodliwe programy III kw. 2012

Przeczytaj także: Kaspersky Lab: szkodliwe programy II kw. 2012

W III kwartale wykryto wiele luk, które cyberprzestępcy niezwłocznie wykorzystali do przeprowadzenia ataków. Luka CVE-2012-1723, wykryta w lipcu, stanowi błąd w komponencie HotSpot, który może być wykorzystany przez osoby atakujące w celu użycia własnej klasy z obejściem sandboksa oferowanego przez wirtualną maszynę Javy. Kolejna luka, CVE-2012-4681, została znaleziona pod koniec sierpnia. Exploity wykorzystujące tę lukę zostały po raz pierwszy wykorzystane w atakach ukierunkowanych, szybko jednak zostały włączone do popularnych pakietów exploitów. Produkty firmy Kaspersky Lab skutecznie wykryły je przy użyciu technologii zaawansowanego wykrywania exploitów.

Na drugim miejscu znalazły się ataki przeprowadzane za pośrednictwem aplikacji Adobe Reader, które stanowiły jedną czwartą wszystkich zablokowanych ataków. Popularność exploitów dla Adobe Readera stopniowo słabnie z powodu stosunkowo prostego mechanizmu umożliwiającego wykrycie ich jak również automatycznych aktualizacji wprowadzonych w ostatnich wersjach Readera.

Exploity wykorzystujące luki w Windows Help i Support Center, jak również różne będy w przeglądarce Internet Explorer, odpowiadały za 3% wszystkich ataków. W szczególności, w III kwartale została wykryta nowa luka (CVE-2012-1876) w przeglądarce IE w wersjach 6-9. Podatna na ataki przeglądarka nie obsługuje poprawnie obiektów w pamięci, co pozwala zdalnym osobom atakującym podjąć próbę uzyskania dostępu do nieistniejącego obiektu, powodując przepełnienie sterty. Co ciekawe, luka ta została wykorzystana w marcu podczas zawodów hakerskich Pwn2Own na konferencji CanSecWest 2012.

Nasza rada dla użytkowników brzmi: instalujcie uaktualnienia popularnych programów, jak tylko zostaną udostępnione, i korzystajcie z aktualnej ochrony przed exploitami. Ponadto, firmy powinny również wykorzystywać technologie zarządzania łatami.

Cyber-szpiegostwo: Gauss, Madi i inni

W III kwartale miało miejsce wiele incydentów szpiegowskich. Najistotniejsze z nich były związane z aktywnością takich szkodników jak Madi, Gauss oraz Flame, które były rozprzestrzeniane głównie na Bliskim Wschodzie.

Jedna kampania, której celem było wniknięcie do systemów komputerowych, trwała niemal rok i była wymierzona głównie przeciwko użytkownikom w Iranie, Izraelu i Afganistanie. Przeprowadziliśmy szczegółowe badanie tego szkodliwego oprogramowania wraz z naszym partnerem, izraelską firmą Seculert. Szkodnik ten został nazwany “Madi” na podstawie ciągów i identyfikatorów wykorzystanych przez cyberprzestępców w swoim szkodliwym oprogramowaniu. Szkodliwe komponenty były rozprzestrzeniane za pośrednictwem ataków, które wykorzystywały zestaw dobrze znanych niewyrafinowanych technologii. Świadczy to o tym, że świadomość bezpieczeństwa internetowego ofiar pozostawia wiele do życzenia.

Ataki te obejmowały instalowanie na maszynach ofiar backdoorów napisanych w Delphi. Szkodniki te mogły zostać stworzone przez programistę amatora lub przez profesjonalistę, który znajdował się pod dużą presją czasu. Kampania wymierzona była w infrastrukturę firm inżynieryjnych o krytycznym znaczeniu, organizacje rządowe oraz banki i uniwersytety na Bliskim Wschodzie. Ofiary zostały wyselekcjonowane spośród użytkowników organizacji, których komunikacja przez dłuższy okres czasu znajdowała się pod ścisłym nadzorem.

Gauss został wykryty podczas dochodzenia zainicjowanego przez International Telecommunication Union (ITU) po odkryciu Flame’a. Zasadniczo, Gauss to sponsorowany przez rząd trojan “bankowy”. Oprócz kradzieży różnych danych z zainfekowanych maszyn działających pod kontrolą Windowsa program ten zawiera szkodliwą funkcję, która jest zaszyfrowana a jej cel - jak dotąd nieznany. Szkodnik ten aktywuje się tylko na systemach o określonej konfiguracji. Gauss opiera się na platformie Flame’a i posiada kilka cech wpólnych z tym szkodnikiem, takich jak procedury infekcji sterowników USB.