Zagrożenia internetowe I kw. 2013

Przeczytaj także: Zagrożenia internetowe I-VI 2012

TeamSpy

W marcu 2013 roku pojawiły się informacje na temat ostatniego spośród złożonych ataków na znanych polityków i obrońców praw człowieka we Wspólnocie Niepodległych Państw oraz Europie Wschodniej. Operacja otrzymała nazwę „TeamSpy”, ponieważ w celu kontrolowania zaatakowanych komputerów osoby atakujące wykorzystały zdalny program administracyjny TeamViewer. Głównym celem tego ataku było zebranie informacji z komputerów użytkowników, począwszy od zrzutów ekranu a skończywszy na kopiach plików .pgp, łącznie z hasłami i kluczami szyfrowania.

Mimo że narzędzia wykorzystane w operacji TeamSpy - a nawet sama operacja – nie wydawały się wcale tak zaawansowane czy profesjonalne w porównaniu z operacją Czerwony Październik, ataki grupy TeamSpy okazały się skuteczne.

Stuxnet 0.5

Incydenty, których zbadanie wymaga miesięcy nieustannego wysiłku, zdarzają się stosunkowo rzadko w branży antywirusowej. Jeszcze rzadziej występują incydenty, które pozostają aktualne nawet po trzech latach – jak na przykład wykrycie Stuxneta. Chociaż robak ten był analizowany przez wiele firm antywirusowych, wiele modułów zostało w niewielkim stopniu, o ile w ogóle, zbadanych. Warto pamiętać, że istniało kilka wersji Stuxneta i najwcześniejsze z nich pojawiły się jeszcze w 2009 roku. Eksperci wielokrotnie sugerowali, że istniały (lub nadal istnieją) jeszcze wcześniejsze wersje tego robaka, mimo że nie znaleziono żadnych twardych dowodów.

Ostatecznie jednak przypuszczenia te zostały potwierdzone. Pod koniec lutego Symantec opublikował badanie dotyczące nowej „starej” wersji tego robaka - Stuxnet 0.5. Wersja ta okazała się najstarszą znaną modyfikacją Stuxneta i była aktywna od 2007 do 2009 roku. Co więcej, posiadała kilka bardzo interesujących cech:

• Po pierwsze, została stworzona na tej samej platformie co Flame – a nie, jak w przypadku kolejnych modyfikacji Stuxneta, na platformie ‘Tilded’.
• Po drugie, robak ten rozprzestrzeniał się za pośrednictwem zainfekowanych plików wygenerowanych przy użyciu Simatic Step 7 i nie zawierał żadnych exploitów dla produktów Microsoftu.
• Po trzecie, Stuxnet 0.5 nie był rozprzestrzeniany po 4 lipca 2009 roku.
• Wreszcie, to Stuxnet 0.5 był w pełni kompatybilny z Siemens 417 PLC (późniejsze wersje tego szkodnika nie posiadały tej funkcji w pełni).

Wyniki badania piątej wersji Stuxneta ujawniły kolejne informacje o tym szkodliwym programie. W przyszłości być może dowiemy się o nim jeszcze więcej. To samo można powiedzieć o przykładach cyberbroni wykrytych po Stuxnecie oraz szkodliwym oprogramowaniu wykorzystywanym w cyberszpiegostwie – wiele rzeczy nadal nie wiemy.

Ataki ukierunkowane

Ataki na aktywistów tybetańskich i ujgurskich

W pierwszym kwartale 2013 roku celem ataków ukierunkowanych nadal byli tybetańscy i ujugurscy aktywiści. Aby osiągnąć swoje cele, osoby atakujące wykorzystywały wszystko, co miały do dyspozycji, a ich ofiarami byli użytkownicy systemu OS X, Windows oraz Android.

W okresie styczeń-luty Kaspersky Lab odnotował znaczący wzrost liczby ataków ukierunkowanych na aktywistów ujgurskich pracujących na systemie OS X. We wszystkich tych atakach wykorzystywana była luka CVE-2009-0562, którą Microsoft załatał niemal cztery lata temu. Exploit wykorzystujący tę lukę został rozesłany w dokumentach MS Office, które można było łatwo rozpoznać po autorskim tagu „captain”. W przypadku wykonania exploita, na komputer ofiary pobierany był backdoor dla systemu OS X w formie pliku Mach-O. Ten niewielki backdoor posiada bardzo specyficzną funkcję: instaluje kolejnego backdoora oraz program, który kradnie dane osobiste (kontakty).

Kaspersky Lab wykrył ataki przeciwko tybetańskim aktywistom w połowie marca 2013 roku. Tym razem osoby atakujące wykorzystały wspomnianego wyżej exploita (CVE-2013-0640 – wykorzystanego wcześniej w atakach ItaDuke) w celu obejścia środowiska sandbox w aplikacji Acrobat Reader X i infekowania komputerów.

Pod koniec marca 2013 r. ofiarą tej fali ataków padli również użytkownicy urządzeń z Androidem. W wyniku włamania się na konto znanego aktywisty tybetańskiego z jego adresu zaczęła wypływać poczta wraz z załącznikiem APK, który okazał się szkodliwym programem stworzonym dla Androida (produkty firmy Kaspersky Lab nadają mu nazwę Backdoor.AndroidOS.Chuli.a). Zagrożenie to powiadamia ukradkiem swój serwer kontroli o przeprowadzeniu udanej infekcji, a następnie zaczyna gromadzić przechowywane na urządzeniu dane: kontakty, dzienniki wywołań, wiadomości tekstowe, dane GPS oraz informacje dotyczące urządzenia. Następnie szkodliwy program szyfruje skradzione dane przy użyciu Base64 i wysyła je do serwera kontroli. Przeprowadzona przez Kaspersky Lab analiza serwera kontroli wykazała, że osoby atakujące mówią po chińsku.

Zaledwie kilka dni po opublikowaniu wyników badania organizacja badawcza The Citizen Lab udostępniła wyniki badania podobnego incydentu. Celem analizowanego ataku były osoby w ten czy inny sposób powiązane z Tybetem i tybetańskimi aktywistami, a wykorzystany szkodliwy program posiadał podobną funkcję (kradzież informacji osobistych), ale stanowił zainfekowaną wersję komunikatora Kakao Talk.

Ataki na sieci korporacyjne

Niestety, pierwszy kwartał roku obfitował w incydenty obejmujące ataki hakerskie na infrastrukturę korporacyjną oraz wycieki haseł. Wśród ich ofiar znalazła się między innymi firma Apple, portal Facebook, Twitter oraz Evernote.

Na początku lutego Twitter wydał oficjalne oświadczenie, informując, że cyberprzestępcom udało się ukraść dane użytkowników (w tym hashe haseł) 250 000 członków tego portalu społecznościowego. Dwa tygodnie później Facebook przyznał, że komputery kilku pracowników tej firmy zostały zainfekowane exploitami. Facebook określił ten incydent jako wyrafinowany, ukierunkowany atak, zaznaczając, że jego celem było przeniknięcie do sieci korporacyjnej Facebooka. Na szczęście, przedstawiciele firmy poinformowali, że Facebook zdołał uniknąć wycieku informacji użytkowników.