Ewolucja złośliwego oprogramowania 2010

Przeczytaj także: Złośliwe oprogramowanie. Ransomware uderza w dyski NAS

Główne incydenty i wydarzenia roku

Aurora

Atak Aurora miał miejsce na początku 2010 roku i zwrócił uwagę zarówno ekspertów ds. bezpieczeństwa jak i mediów. Jego ofiarą padło wiele dużych firm, łącznie z Google i Adobe. Oprócz poufnych informacji użytkowników stojący za tym atakiem cyberprzestępcy planowali również zdobycie kodów dotyczących wielu projektów firmowych.

Atak wykorzystywał lukę CVE-2010-0249 w przeglądarce Internet Explorer, dla której nie istniała jeszcze łata. Tak więc Aurora jest kolejnym doskonałym przykładem wykorzystania luki zero-day.

Trojany, których celem jest wyłudzanie

Na początku i w połowie 2010 roku użytkowników z Rosji oraz kilku innych byłych republik Związku Radzieckiego dotknęła fala infekcji spowodowanych przez różne warianty blokerów SMS – jedne z dominujących zagrożeń tego okresu.

Jak działały te programy? Po uruchomieniu się na komputerze ofiary szkodnik, który rozprzestrzeniał się przy użyciu różnych metod, łącznie z wykorzystaniem popularnych rosyjskich portali społecznościowych, ataków drive-by download oraz sieci P2P, blokował system operacyjny atakowanej maszyny lub dostęp do Internetu oraz domagał się od użytkownika wysłania wiadomości SMS na numer o podwyższonej opłacie w celu otrzymania “kodu odblokowującego”.

Skala problemu okazała się tak duża, a liczba ofiar tak znaczna, że w całą sprawę zaangażowały się organy ścigania, a rozwój wypadków relacjonowały rosyjskie media, od telewizji po blogosferę. Operatorzy telefonii komórkowej robili co mogli, aby zlikwidować to zagrożenie, wprowadzając nowe zasady dotyczące rejestrowania i wykorzystywania krótkich numerów (o podwyższonej opłacie), blokując konta, które zostały wykorzystane do przeprowadzania oszustw, oraz informując klientów o tego typu oszustwach SMS.

Pod koniec sierpnia w Moskwie aresztowano kilka osób oskarżonych o tworzenie blokerów SMS. Według szacunków rosyjskiego Ministerstwa Spraw Wewnętrznych, nielegalne dochody wygenerowane przez tą grupę cyberprzestępczą wynosiły 500 milionów rubli (około 12,5 miliona euro).

Jednak nie ma co liczyć na to, że problem zniknie. Cyberprzestępcy stosują teraz inne metody pozwalające im otrzymywać zapłatę za “odblokowanie” komputerów swoich ofiar, takie jak na przykład elektroniczne systemy płatności lub terminale płatnicze.

Co więcej, pod koniec roku zarejestrowano nowe incydenty dotyczące trojanów szyfrujących, podobnych do Gpcode’a. Trojany te szyfrują dane przy użyciu mocnych algorytmów, takich jak RSA i AES, a następnie żądają zapłaty za przywrócenie danych.

Stuxnet

Pod względem znaczenia dla branży wykrycie robaka Stuxnet latem 2010 roku okazało się najistotniejszym wydarzeniem roku – i nie tylko tego roku. Już pobieżna analiza tego robaka ujawnia dwa główne czynniki, które wymagają dokładnego zbadania.

Po pierwsze, od samego początku było jasne, że szkodnik ten wykorzystuje lukę zero-day w systemie Windows związaną z nieprawidłowym przetwarzaniem plików LNK (CVE-2010-2568), która może zostać wykorzystana do uruchomienia szkodliwych plików z wymiennych dysków USB. Dziura ta szybko wzbudziła zainteresowanie również innych cyberprzestępców: wykorzystujące ją szkodliwe programy zostały wykryte już w lipcu. A konkretnie, exploity na tę lukę były wykorzystywane do rozprzestrzeniania robaka Sality oraz Zbota (ZeuS). W samym tylko trzecim kwartale 6% użytkowników KSN padło ofiarą ataków, w których wykorzystywano exploity na lukę CVE-2010-2568.

Po drugie, robak wykorzystywał legalne certyfikaty cyfrowe wydane dla Realtek. Wspominaliśmy o tym w sekcji dotyczącej Certyfikatów cyfrowych.

Co więcej, jeden ze szkodliwych komponentów Stuxneta podpisany był certyfikatem JMicron, jednak nikt nigdy nie próbował śledzić oryginalnego źródła, lub “droppera”, który instalował ten komponent. Pochodzenie komponentu to kolejna biała plama w historii Stuxneta.