Kaspersky Lab: szkodliwe programy II 2012

Przeczytaj także: Kaspersky Lab: szkodliwe programy XI 2011

Ataki na sieci korporacyjne

Ataki haktywistów obserwowaliśmy przez cały luty: tym razem członkowie grupy Anonymous obrali sobie za cel zasoby sieciowe o charakterze finansowym i politycznym.

Haktywiści zaatakowali strony internetowe zlokalizowanych w Stanach Zjednoczonych firm Combined Systems Inc. (CSI) oraz Sur-Tec Inc. Firmy te zajmowały się dostawą do niektórych państw urządzeń monitorujących, wykorzystywanych do monitorowania obywateli, jak również gazu łzawiącego i innych narzędzi do tłumienia protestów. CIS został oskarżony o wysyłanie tych technologii do Egiptu w czasie odsuwania od władzy prezydenta Mubaraka. Wysyłki zostały również wyekspediowane do Izraela, Gwatemali i kilku innych państw. Hakerzy zdołali ukraść wewnętrzną korespondencję tej firmy, listę klientów oraz wiele dokumentów wewnętrznych – wszystkie te dane zostały następnie upublicznione na stronie pastebin.com.

Ponadto hakerzy włamali się do kilku stron należących do amerykańskiej Federacyjnej Komisji Handlu. Incydent ten był częścią protestu Anonymous przeciwko porozumieniu ACTA. Na zhakowanych stronach umieszczono film z protestem przeciwko przyjęciu ACTA. Haktywiści weszli również w posiadanie nazwy użytkowników i hasła użytkowników i opublikowali je na stronie pastebin.com.

Do wspomnianych wyżej ataków przyznała się grupa, która zorganizowała styczniowe ataki DDoS w ramach protestu przeciwko zamknięciu Megaupload.com. W tym czasie wyrządziła również szkody amerykańskiemu Departamentowi Sprawiedliwości, stronie Universal Music Group, Recording Industry Association of America oraz MPAA.

Kolejna grupa w szeregach Anonymous (LONGwave99) przeprowadziła ataki na instytucje finansowe w Stanach Zjednoczonych. 14-15 lutego grupa ta uruchomiła ataki DDoS, w wyniku których strony internetowe NASDAQ, BATS, Chicago Board Options Exchange (CBOE) oraz Miami Stock Exchange zostały odłączone od Sieci. Według przedstawicieli giełd, ataki te – znane pod kryptonimem “Operation Digital Tornado” – nie zakłóciły systemów handlowych.

Policja nadal prowadzi śledztwo w sprawie aktywności haktywisów. Pod koniec lutego wspólne działania Interpolu oraz organów ścigania w Argentynie, Zhili, Kolumbii oraz Hiszpanii doprowadziły do aresztowania 25 osób podejrzanych o udział w kilku atakach. W odpowiedzi Anonymous przeprowadził atak DDoS na stronę Interpolu, w wyniku którego przez kilka godzin pozostawała online.

Przed wyborami prezydenckimi w Rosji ataki DDoS oraz ataki hakerskie były stosowane jako narzędzia w kampanii politycznej. Celem umotywowanych politycznie ataków padły również strony internetowe mediów, grup opozycyjnych oraz agencji rządowych. Co istotne, w tej serii ataków Kaspersky Lab wykrył wykorzystanie kilku botnetów Ruskill, które cyklicznie się zastępowały. Łącznie wykryliśmy osiem serwerów kontroli zlokalizowanych w ośmiu krajach – każdy serwer wykorzystywał usługi innego dostawcy. Mimo tego, wszystkie te zasoby były kontrolowane przez tych samych ludzi.

W wielu przypadkach botnety zaangażowane w tzw. ataki polityczne były wcześniej wykorzystywane w czysto komercyjnych atakach DDoS na sklepy online, banki, specjalistyczne fora i blogi. Można zatem przypuszczać, że botnety te zostały po prostu wynajęte (najprawdopodobniej za opłatą) do przeprowadzenia ataków politycznych.