Zagrożenia internetowe I kw. 2012

Przeczytaj także: Ataki DDoS II poł. 2011

Szkodliwe oprogramowanie wykorzystywane do ataków ukierunkowanych na platformy Mac OS X nie jest trudne do stworzenia przez cyberprzestępców – świadczy o tym tempo pojawiania się takich programów. Fakt, że wielu użytkowników Maków nie przejmuje się zagrożeniami dla swoich komputerów, w połączeniu z brakiem rozwiązań antywirusowych na ich komputerach, sprawia, że Mac jest najsłabszym ogniwem w systemie bezpieczeństwa organizacji.

Powrót Duqu

Po czteromiesięcznej przerwie autorzy Duqu wrócili do pracy: w marcu na wolności został wykryty nowy sterownik, który był niemal identyczny z poprzednimi sterownikami Duqu. Wcześniejsze sterowniki zostały stworzone 3 listopada 2010 r. oraz 17 października 2011 r., podczas gdy najstarszy sterownik datuje się na 23 lutego 2012 r.

Funkcjonalność nowego sterownika jest zgodna z funkcjonalnością poprzednich wersji. Jego kod zawiera jedynie drobne modyfikacje, które zostały wprowadzone w celu uniemożliwienia wykrycia go przez programy antywirusowe. Główny moduł Duqu związany ze sterownikiem nie został wykryty.

Nasze założenie, że niełatwo jest zamknąć tak kosztowne projekty jak Duqu czy Stuxnet, okazało się słuszne. Cyberprzestępcy zrobili to co zawsze – zmodyfikowali kod, tak aby szkodnik mógł uniknąć wykrycia i kontynuował swoje ataki.

Z pomocą międzynarodowej społeczności programistów oraz naukowców udało nam się ustalić, że Szkielet Duqu został napisany w języku OO C. Takie podejście byłoby typowe dla przedstawicieli „starej szkoły” programistycznej pracujących nad poważnymi projektami, jednak prawie nigdy nie jest stosowane w przypadku współczesnych szkodliwych programów. Jest to kolejny dowód na to, że Duqu, wraz z Stuxnetem, jest unikatowym tworem, który wyróżnia się spośród innych szkodliwych programów.

Z powodu niewielkiej liczby ofiar na całym świecie (mniej niż 50) Duqu pozostaje najbardziej tajemniczym trojanem, który kiedykolwiek został wykryty. To, że jego ofiary znajdują się w Iranie, sugeruje, że autorzy tego szkodnika mają określony plan przeprowadzania długotrwałych ataków. Wyrafinowane i wielowarstwowe mechanizmy bezpieczeństwa tego trojana sugerują, że bardzo ważne jest to, aby projekt ten pozostał niezauważony. Nie jest wykluczone, że w przyszłości platforma Tilded będzie dalej rozwijana, przez co technologia służąca do maskowania i zaciemniania kodu stanie się jeszcze bardziej złożona.

Woja z cyberprzestępczością

Poza nowym szkodliwym oprogramowaniem i poważnymi atakami hakerskimi (o których wielokrotnie pisaliśmy) warto wspomnieć również o zakończonych sukcesem wspólnych akcjach firm antywirusowych i organów ścigania. Dzięki połączeniu sił udało się przejąć kontrolę nad botnetem Hlux (Kelihos), zdjąć centra zarządzania kilku botnetów ZeuSa i aresztować gang rosyjskich cyberprzestępców.