Wirusy i ataki sieciowe IV-VI 2005

Przeczytaj także: Ewolucja złośliwego oprogramowania 2008

3. Wybór celów i metod przenikania do systemów.

Na czym polega różnica między atakami na konkretne cele a kradzieżą haseł internetowych lub ICQ, które są następnie odsprzedawane za pięć dolarów?
Inną rzeczą jest zainfekowanie milionów komputerów na całym świecie i przechwycenie pięćdziesięciu tysięcy numerów kart kredytowych, inną natomiast kradzież miliona numerów kart kredytowych w wyniku zainfekowania tylko jednego komputera.

Analiza incydentu kradzieży danych z CardSystem Solutions, o którym powszechnie informowały media, ujawniła szczegóły, które nie tworzą spójnej całości.

Złośliwy program, który podobno został wykryty w sieci CardSystem Solutions, wciąż nie trafił do firm antywirusowych. Dla porównania, producenci oprogramowania antywirusowego dodali do swoich antywirusowych baz danych sygnaturę konia trojańskiego Hotworld Trojan już w ciągu dwóch dni od jego wykrycia.

Z pewnością trojan ten nie był keyloggerem (programem rejestrującym dane wprowadzane z klawiatury): jest wysoce nieprawdopodobne, żeby 40 milionów numerów kart kredytowych zostało wprowadzonych do systemu ręcznie przez klawiaturę zainfekowanego komputera.

Aby możliwe było uzyskanie dostępu do bazy danych, w której przechowywane były numery kart kredytowych, Trojan musiałby zostać specjalnie zaprogramowany dla bazy danych CardSystem Solutions.

Ciągle jeszcze nie ustalono, w jaki sposób informacje przedostały się poza sieć CardSystem Solutions.

Naturalnie sprawa jest wciąż badana. Szczegóły sprawy raczej nie zostaną podane do wiadomości opinii publicznej w najbliższej przyszłości. Nie ma również pewności co do słuszności mediów, które podają, że za tym atakiem stoją hakerzy z Rosji. Krążą informacje, że kilka rosyjskich stron WWW związanych z nielegalnym wykorzystywaniem numerów kart płatniczych oferuje sprzedaż niektórych ze skradzionych numerów. Nie jest jednak jasne, skąd media dokładnie znają skradzione numery kart kredytowych i wiedzą, że numery te zostały skradzione właśnie z CardSystem Solutions. Wystawione na sprzedaż numery mogły przecież pochodzić z innego źródła.

Tegoroczne głośne incydenty naruszenia bezpieczeństwa IT ukazują nowe oblicze cybernetycznej przestępczości. Najnowsze pokolenie cyber-przestępców gotowe jest wydać dziesiątki tysięcy dolarów, aby zdobyć informacje z wewnątrz o konkretnym celu ataku. Posiadają kontakty w samych organizacjach, dzięki czemu mogą omijać liczne systemy wykrywania włamań. Nie są to już dzieciaki sprzedające konie trojańskie za dziesięć dolarów, a już na pewno nie sprzedają skradzionych informacji poprzez powszechnie dostępne fora i strony (nawet działające w podziemiu).

Coraz głośniej mówi się o podobnych atakach, ponieważ zdarzają się one coraz częściej. Im większa instytucja finansowa, tym bardziej jej sieć narażona jest na atak. Ogromna liczba komputerów, niejednorodne sieci z różnymi poziomami dostępu, duża liczba pracowników - wszystko to ułatwia opracowanie ataku przez zdalnego przestępcę. W niektórych dużych sieciach nie można znaleźć konkretnego dokumentu. O ile trudniej jest więc znaleźć konia trojańskiego celowo ukrytego w systemie.

Takie trojany są unikatowe, zaprojektowane z myślą o konkretnym celu. Oznacza to, że wykrywanie metodą heurystyczną jest prawie niemożliwe. Ponieważ istnieje tylko jedna kopia (w przeciwieństwie do robaków, które rozprzestrzeniają się w milionach), producenci oprogramowania antywirusowego mogą nigdy nie ujrzeć próbki szkodnika.

Podsumowując: zmieniają się wektory i cele ataków. Hakerzy odchodzą od atakowania użytkowników końcowych i wybierają jako swoje cele strony WWW i właścicieli witryn z informacjami cennymi dla przestępców cybernetycznych.