Szkodliwe programy 2012 i prognozy na 2013

Przeczytaj także: Szkodliwe programy 2013

2. Flame i Gauss: wspierane przez rządy kampanie cyberszpiegowskie

W połowie kwietnia 2012 roku w wyniku serii cyberataków zostały zniszczone systemy komputerowe w kilku platformach wydobycia ropy na Bliskim Wschodzie. Szkodnik odpowiedzialny za te ataki - “Wiper” – nigdy nie został wykryty, mimo że kilka czynników wskazywało na jego podobieństwo do Duqu i Stuxneta. Podczas dochodzenia odkryliśmy dużą kampanię cyberszpiegowską, znaną obecnie pod nazwą Flame.

Flame to prawdopodobnie jeden z najbardziej zaawansowanych szkodliwych programów, jakie kiedykolwiek zostały stworzone. W pełni zainstalowany w systemie, posiada ponad 20 MB modułów, które wykonują szeroki wachlarz funkcji, takich jak przechwytywanie nagrań audio, skanowanie urządzeń z technologią Bluetooth, kradzież dokumentów oraz wykonywanie zrzutów ekranu z zainfekowanej maszyny. Najbardziej imponującym działaniem było wykorzystywanie fałszywego certyfikatu Microsoftu w celu przeprowadzenia ataku typu „man-in-the-middle” na module aktualizacji systemu Windows, który pozwolił w mgnieniu oka zainfekować w pełni załatane komputery PC z systemem Windows 7. Złożoność tej operacji nie pozostawiała wątpliwości, że była ona wspierana przez państwo. Analitycy z Kaspersky Lab odkryli mocne związki tego szkodnika ze Stuxnetem, co sugeruje, że twórcy Flame’a współpracowali z autorami Stuxneta, być może przy okazji tej samej operacji.

Znaczenie Flame’a polega na tym, że program ten udowodnił, iż wysoce złożone szkodliwe oprogramowanie może istnieć niewykryte przez wiele lat. Szacuje się, że projekt Flame mógł mieć co najmniej pięć lat. Ponadto, zagrożenie to przedefiniowało całą koncepcję programów “zero-day”, poprzez swoją technikę rozprzestrzeniania za pośrednictwem ataków „man-in-the-middle” w trybie „God mode”. Naturalnie, w momencie odkrycia Flame’a ludzie zastanawiali się, jak wiele podobnych kampanii zostało przeprowadzonych. Wkrótce na jaw wyszły inne. Odkrycie Gaussa, innego wysoce zaawansowanego trojana, powszechnie rozprzestrzenianego na Bliskim Wschodzie, nadało nowy wymiar cyber-kampaniom sponsorowanym przez państwa. Gauss wyróżnia się wieloma rzeczami, a niektóre z nich do dzisiaj pozostają zagadką. Użycie niestandardowej czcionki o nazwie „Palida Narrow” czy zaszyfrowana szkodliwa funkcja, której celem jest komputer odłączony od Internetu – to jedne z wielu niewiadomych. Flame to również pierwszy sponsorowany przez rząd trojan bankowy potrafiący kraść dane uwierzytelniające transakcje bankowości online swoich ofiar, głównie w Libanie.

Wraz z Flamem i Gaussem pole bitwy na Bliskim Wschodzie zostało wzbogacone o nowy wymiar: cyberwojnę i działania cyberwojenne. Wygląda na to, że obecne napięcia geopolityczne przenika silny komponent cybernetyczny – być może większy niż ktokolwiek przypuszczał.

3. Eksplozja zagrożeń dla Androida

W 2011 roku obserwowaliśmy eksplozję pod względem liczby zagrożeń, których celem była platforma Android. Przewidywaliśmy, że liczba zagrożeń dla Androida nadal będzie rosnąć w zastraszającym tempie. Wyraźnie widać to na poniższym wykresie:

TLiczba próbek, jakie otrzymywaliśmy, nadal rosła, osiągając wartość szczytową w czerwcu 2012 roku, gdy zidentyfikowaliśmy prawie 7 000 szkodliwych programów dla Androida. Łącznie odnotowaliśmy ponad 35 000 szkodliwych programów dla tej platformy w 2012 roku - około sześć razy więcej niż w 2011 roku. To również około pięć razy więcej niż liczba wszystkich szkodliwych próbek dla Androida, jakie otrzymaliśmy od 2005 roku!

Ogromny wzrost liczby zagrożeń dla Androida można wytłumaczyć dwoma czynnikami: jeden jest natury ekonomicznej, drugi dotyczy samej platformy. Po pierwsze, platforma Android zyskała ogromną popularność: obecnie stanowi najpowszechniejszy systemem operacyjnym wśród nowych telefonów i posiada ponad 70% udział w rynku. Po drugie, otwarty charakter tego systemu operacyjnego, łatwość tworzenia aplikacji oraz duża różnorodność (nieoficjalnych) rynków aplikacji wywierają łącznie negatywny wpływ na bezpieczeństwo platformy Android.

Patrząc w przyszłość, nie ma wątpliwości, że opisywany trend utrzyma się, tak jak to miało miejsce w przypadku szkodliwego oprogramowania dla systemu Windows wiele lat temu. Dlatego też spodziewamy się, że 2013 rok będzie obfitował w ataki ukierunkowane na użytkowników Androida, ataki zero-day i wycieki danych.

4. Wycieki haseł z portalu LinkedIn, Last.fm, Dropbox oraz Gamigo

5 czerwca 2012 roku LinkedIn, jeden z największych na świecie portali społecznościowych skupiających ludzi różnych branż, padł ofiarą ataku hakerskiego przeprowadzonego przez nieznanych sprawców, w wyniku którego do internetu wyciekły hashe haseł ponad 6,4 miliona osób. Przy pomocy szybkich kart graficznych eksperci ds. bezpieczeństwa uzyskali aż 85% pierwotnych haseł. Przyczyniło się do tego kilka czynników. Po pierwsze, LinkedIn przechowywał hasła w postaci hashy SHA1. Współczesne karty graficzne potrafią łamać hashe SHA1 niewiarygodnie szybko. Na przykład Radeon 7970 potrafi sprawdzić niemal 2 miliardy haseł/hashy SHA1 na sekundę. To, w połączeniu ze współczesnymi atakami kryptograficznymi, takimi jak użycie łańcuchów Markowa w celu optymalizacji wyszukiwania metodą brute force czy atakami przy użyciu maski, nauczyło deweloperów kilku nowych rzeczy o przechowywaniu zaszyfrowanych haseł.