Wirusy i ataki sieciowe IV-VI 2005

Przeczytaj także: Ewolucja złośliwego oprogramowania 2008

Zmieniające się trendy ataków sieciowych

W ostatnich miesiącach miało miejsce kilka poważnych incydentów naruszenia bezpieczeństwa IT wyraźnie wskazujących na zmianę wektorów ataków hakerów. W wyniku działania cyber-przestępców ucierpiały główne instytucje finansowe, takie jak Bank of America, Sumitomo Bank, Master Card oraz Visa. Inne głośne wydarzenie z tego kwartału, incydent z trojanem Hotworld Trojan, dotyczyło wykrycia programu Trojan-Spy w sieciach ponad 80 organizacji zlokalizowanych w Izraelu i Wielkiej Brytanii.

Po przeanalizowaniu tych ataków oraz innych mniej nagłośnionych incydentów twórcy raportu doszli do następujących wniosków:

1. Cyber-przestępcy rezygnują z masowych ataków przeprowadzanych przy użyciu robaków sieciowych oraz rozsyłania koni trojańskich za pomocą technik spamowych.

Istnieje kilka przyczyn tego nowego podejścia: po pierwsze, przemysł antywirusowy posiada dziesięcioletnie doświadczenie w zwalczaniu robaków wywołujących globalne epidemie, zdołał więc rozwinąć skuteczne metody odpierania takich ataków. Obejmują one zarówno najprostsze techniki ochrony - wykrywanie ogromnej ilości kopii tego samego pliku w ruchu pocztowym, co jest pierwszą oznaką masowego rozsyłania złośliwego programu, jak i bardziej złożone, takie jak IDS (system wykrywania włamań) czy zapora ogniowa. Obecnie od momentu wykrycia pierwszej kopii robaka do zamieszczenia jego sygnatury w antywirusowych bazach danych, dzięki czemu możliwe jest wykrycie i zneutralizowanie szkodnika, mija niecała godzina. W rezultacie skuteczność takich ataków została znacznie zminimalizowana, a czasami nawet zredukowana do zera.

Po drugie, robaki, które zdołają przedrzeć się przez wielowarstwową ochronę i zainfekować kilka tysięcy użytkowników, którzy nie zainstalowali na swoich komputerach programu antywirusowego, będą musiały zmierzyć się z niełatwym zadaniem: powielić się i, co jest szczególnie istotne dla cyber-przestępców, zebrać z zainfekowanych komputerów informacje, a także rozesłać je. Na podstawie analizy złośliwych programów specjaliści z branży antywirusowej potrafią zidentyfikować serwery, z których przesyłane są zbierane informacje, jak również ustalić kanały i metody kontrolowania zainfekowanych komputerów. Pozwala to na zamknięcie serwerów stanowiących źródło infekcji. Chociaż działania te nie muszą doprowadzić do aresztowania przestępców, to z pewnością uniemożliwią dostanie się w ich ręce pożądanych informacji.

Po trzecie, nawet jeśli przestępcom uda się przechwycić skradzione dane, muszą jeszcze wykorzystać te informacje do osiągnięcia korzyści finansowych. A nie jest to wcale takie proste i właśnie na tym etapie procesu ryzyko aresztowania znacznie wzrasta.

2. Przestępcy atakują teraz konkretne, duże cele.

Opisane wcześniej trudności skłaniają cyber-przestępców do wybierania innych celów i metod umożliwiających im uzyskanie dostępu do danych, które mogą zostać następnie wykorzystane lub sprzedane klientowi, który zlecił atak.

Czym kierują się przestępcy, którzy przeprowadzają ataki na specyficzne cele?

Po pierwsze, ataki dokonywane są w celu kradzieży poufnych informacji bankowych i osobistych - numerów kart kredytowych i ubezpieczenia oraz wszelkich innych danych osobowych posiadanych przez współczesnych użytkowników komputerów. Informacje te mogą następnie zostać wykorzystane do oszustw i szantaży: opróżniania kont bankowych, fałszowania dokumentów i kont bankowych itd. W grę wchodzi również szpiegostwo przemysłowe, które staje się coraz powszechniejsze. Informacje na temat działalności konkurencji (takie jak dane finansowe oraz dotyczące pracowników), które wcześniej zdobywano przy użyciu urządzeń podsłuchowych, magnetofonów i kamer, dostępne są teraz poprzez sieć komputerową organizacji.