Ewolucja złośliwego oprogramowania I kw. 2014

Przeczytaj także: Ewolucja złośliwego oprogramowania 2013

I kwartał 2014 r. w liczbach

Tylko w pierwszych trzech miesiącach bieżącego roku rozwiązania firmy Kaspersky Lab zdołały odeprzeć aż 353 216 351 ataków przeprowadzanych z zasobów online zlokalizowanych na całym świecie.

Moduł ochrony przed zagrożeniami internetowymi wykrył z kolei 29 122 849 unikatowych szkodliwych obiektów: skryptów, stron internetowych exploitów, plików wykonywalnych itd. Ponadto jako szkodliwe zostało zidentyfikowanych 81 736 783 unikatowych adresów URL.

39% ataków internetowych zneutralizowanych przez produkty Kaspersky Lab zostało przeprowadzonych z wykorzystaniem szkodliwych zasobów sieciowych zlokalizowanych w Stanach Zjednoczonych i Rosji.

Rozwiązania antywirusowe firmy Kaspersky Lab wykryły też 645 809 230 ataków wirusów na komputery użytkowników. W incydentach tych zidentyfikowano łącznie 135 227 372 unikatowych szkodliwych i potencjalnie niechcianych obiektów.

PRZEGLĄD

Ataki ukierunkowane/APT

Mgła podnosi się

We wrześniu 2013 r. informowaliśmy o ataku ukierunkowanym o nazwie Icefog, który skupiał się głównie na celach w Korei Południowej i Japonii. Większość kampanii APT trwa kilka miesięcy lub lat, podczas których ma miejsce nieustanna kradzież danych ofiar. Jednak osoby stojące za atakiem Icefog brały na celownik swoje ofiary po kolei, przeprowadzając krótkotrwałe, precyzyjne ataki w celu kradzieży określonych danych, po których szybko wycofywały się. W kampanii tej, trwającej przynajmniej od 2011 r., wykorzystywano szereg różnych wersji szkodliwego oprogramowania, w tym przeznaczone dla systemu OS X firmy Apple.

Po publikacji naszego raportu operacje w ramach kampanii Icefog zostały zakończone, a osoby atakujące zamknęły wszystkie znane serwery kontroli. Nadal jednak monitorowaliśmy domeny leja (sinkholing) i analizowaliśmy połączenia ofiar. Nasza ciągła analiza ujawniła istnienie nowej generacji backdoorów Icefog – tym razem była to wersja dla Javy, którą nazwaliśmy 'Javafog'. Połączenia z jedną z domen, która została poddana operacji leja, 'lingdona[dot]com', wskazywały, że klient może stanowić aplikację Javy; przeprowadzone dochodzenie ujawniło próbkę tej aplikacji.

Podczas operacji leja dla tej domeny zidentyfikowaliśmy osiem adresów IP dla trzech ofiar Javabota. Wszystkie z nich znajdowały się w Stanach Zjednoczonych – jedną z ofiar była duża, niezależna korporacja z branży naftowej i gazowej prowadząca działalność w wielu państwach. Możliwe, że Javafog został opracowany dla oddziału w Stanach Zjednoczonych i operacja miała trwać dłużej niż typowe ataki Icefog. Jednym z możliwych powodów rozwoju wersji tego szkodliwego oprogramowania dla Javy jest fakt, że jest ona bardziej ukradkowa i trudniejsza do wykrycia.

Co kryje się pod maską

W lutym zespół z firmy Kaspersky Lab zajmujący się badaniami nad bezpieczeństwem opublikował raport dotyczący złożonej kampanii cyberszpiegowskiej o nazwie The Mask lub Careto (która w hiszpańskim slangu oznacza „brzydką twarz” lub „maskę”). Celem tej kampanii była kradzież poufnych danych z różnego rodzaju instytucji. Ofiary, zlokalizowane w 31 państwach na całym świecie, obejmowały agencje rządowe, ambasady, firmy z branży energetycznej, instytucje badawcze oraz aktywistów.

Ataki rozpoczynają się od wiadomości typu spear-phishing, w której znajduje się odsyłacz do szkodliwej strony internetowej zawierającej liczne exploity. Po zainfekowaniu ofiara zostaje przekierowana na legalną stronę wskazaną w otrzymanym mailu (np. portal informacyjny lub wideo). The Mask obejmuje zaawansowanego trojana backdoora, który potrafi przechwytywać wszystkie kanały komunikacji i zbierać wszelkie rodzaje danych z zainfekowanego komputera. Podobnie jak w przypadku Red October i innych wcześniejszych ataków ukierunkowanych, kod tego szkodnika jest wysoce modułowy, co pozwala osobom atakującym dodawać nową funkcjonalność. The Mask szeroko zarzuca swoją sieć – pojawiły się wersje tego backdoora dla systemów Windows i Mac OS X. Pewne informacje sugerują, że mogą również istnieć wersje dla systemu Linux, iOS oraz Android. W celu zamaskowania swojej aktywności trojan wykorzystuje bardzo zaawansowane techniki ukrywania się.