Szkodliwe programy 2012 i prognozy na 2013

Przeczytaj także: Szkodliwe programy 2013

Kiedy DropBox poinformował, że padł ofiarą ataku hakerskiego, w wyniku którego wyciekły dane dotyczące kont użytkowników, po raz kolejny potwierdziło się, że celem hakerów są cenne dane (zwłaszcza dane uwierzytelniające użytkowników) w popularnych serwisach internetowych. W 2012 roku podobne ataki zostały przeprowadzone na Last.fm oraz Gamigo , a ich rezultatem był wyciek ponad 8 milionów haseł.

Aby dać pewne wyobrażenie na temat rozmiarów omawianego problemu, podczas konferencji InfoSecSouthwest 2012 Korelogic opublikował archiwum zawierające około 146 milionów hashy haseł, uzyskanych w ramach wielu incydentów hakerskich. Spośród tych hashy 122 milionów zostało już złamanych.

Ataki te pokazują, że w erze „chmury”, kiedy na jednym serwerze dostępne są informacje dotyczące milionów kont, koncepcja wycieku danych nabiera całkowicie nowego wymiaru. Zbadaliśmy to zjawisko w zeszłym roku w związku z atakiem hakerskim na sieć Sony Playstation; dlatego też nie było żadnej niespodzianki w tym, że wycieki i ataki hakerskie na tak dużą skalę miały miejsce również w 2012 r.

5. Kradzież certyfikatów firmy Adobe oraz powszechne ataki APT

Podczas 2011 roku miało miejsce kilka głośnych ataków na centra certyfikacji. W czerwcu zaatakowana została duńska firma DigiNotar, natomiast w marcu ofiarą cyberprzestępców padł podmiot stowarzyszony firmy Comodo, który został podstępnie nakłoniony do wydania certyfikatów cyfrowych. Odkrycie Duqu we wrześniu 2011 roku również miało związek z atakiem hakerskim na centrum certyfikacji.

27 września 2012 roku firma Adobe poinformowała o wykryciu dwóch szkodliwych programów podpisanych przy użyciu ważnego certyfikatu Adobe. Certyfikaty firmy Adobe były bezpiecznie przechowywane w HSM, specjalnym urządzeniu kryptograficznym, które znacznie utrudnia ataki. Mimo to osoby atakujące zdołały uzyskać dostęp do serwera, który wykonał żądania podpisania kodu.

Odkrycie to należy do tego samego łańcucha ściśle ukierunkowanych ataków przeprowadzanych przez zaawansowanych twórców, które są powszechnie określane jako APT.

To, że znana firma taka jak Adobe padła ofiarą tego rodzaju ataku, na nowo definiuje granice i możliwości zaawansowanych cyberprzestępców.

6. Koniec DNSChangera

Kiedy w listopadzie 2011 roku podczas operacji „Ghost Click” aresztowano osoby stojące za szkodliwym oprogramowaniem DNSChanger, infrastruktura wykorzystywana do kradzieży tożsamości została przejęta przez FBI.

FBI zgodziło się, aby serwery działały online do 9 lipca 2012 roku, tak aby ofiary miały czas usunąć szkodliwe oprogramowanie ze swoich systemów. Mimo kilku katastroficznych scenariuszy dzień ten minął bez większych problemów. Nie byłoby to jednak możliwe, gdyby FBI jak również inne organy ścigania, prywatne firmy oraz rządy na całym świecie nie zainwestowały w ten projekt tak wiele czasu i zasobów. Była to akcja przeprowadzona na dużą skalę, która udowodniła, że sukces w walce z cyberprzestępczością można osiągnąć poprzez otwartą współpracę oraz wymianę informacji.

7. Incydent Ma(h)di

Pod koniec 2011 roku i w pierwszej połowie 2012 roku miała miejsce długofalowa kampania mająca na celu infiltrowanie systemów komputerowych na Bliskim Wschodzie wymierzona przeciwko osobom w Iranie, Izraelu, Afganistanie oraz w innych państwach rozrzuconych po całym świecie. We współpracy ze Seculert szczegółowo zbadaliśmy tę operację i na podstawie pewnych ciągów i funkcji wykorzystywanych przez osoby atakujące nadaliśmy jej nazwę „Madi”.

Mimo że Madi był stosunkowo mało zaawansowany, udało mu się przeprowadzić atak na wiele różnych ofiar na całym świecie przy użyciu socjotechniki oraz taktyk Right-To-Left-Overwrite. Kampania Madi pokazała jeszcze inny wymiar operacji cyberszpiegowskich na Bliskim Wschodzie oraz unaoczniła jedną ważną rzecz: operacje wymagające niewielkich nakładów, w przeciwieństwie do sponsorowanego przez rząd szkodliwego oprogramowania o nieograniczonym budżecie, mogą okazać się dość skuteczne.