Szkodliwe programy 2012 i prognozy na 2013

Przeczytaj także: Szkodliwe programy 2013

8. Ataki wykorzystujące luki 0-day w Javie

Po wspomnianym wcześniej incydencie związanym z Flashbackiem Apple podjął śmiały krok i postanowił wyłączyć Javę milionom użytkowników systemów Mac OS X. Warto wskazać, że chociaż łata na lukę wykorzystywaną przez Flashbacka była dostępna od lutego, użytkownicy produktów firmy Apple pozostawali przez kilka miesięcy bez ochrony, ponieważ firma Apple nie spieszyła się z dostarczeniem tej łaty użytkownikom systemu Mac OS X. Sytuacja wyglądała inaczej w przypadku systemu Mac OS X, ponieważ o ile w przypadku Windowsa łaty pochodziły od firmy Oracle, w systemie Mac OS X łaty były dostarczane przez Apple.

Jakby nie było tego mało, w sierpniu 2012 roku wykryto lukę zero-day w Javie wykorzystywaną na wolności na masową skalę (CVE-2012-4681). Exploit został zaimplementowany w bardzo popularnym zestawie exploitów BlackHole i szybko stał się najefektywniejszy z całego zestawu, odpowiadając za miliony infekcji na całym świecie.

W drugim kwartale 2012 roku przeprowadziliśmy analizę podatnych na ataki programów wykrytych na komputerach użytkowników, która wykazała, że na ponad 30% z nich jest zainstalowana stara i dziurawa wersja Javy. Bez wątpienia było to najbardziej rozpowszechnione dziurawe oprogramowanie z tych zainstalowanych na komputerze.

9. Shamoon

W połowie sierpnia pojawiły się szczegóły dotyczące niezwykle destruktywnego szkodliwego oprogramowania wykorzystanego w ataku przeciwko Saudi Aramco, jednego z największych na świecie konglomeratów naftowych. Według raportów, szkodnik ten spowodował całkowite zniszczenie ponad 30 000 komputerów.

Przeprowadzona przez nas analiza Shamoona wykazała, że szkodnik ten zawiera wbudowany przełącznik, który miał aktywować proces destrukcyjny 15 sierpnia o godz. 8:08. Później pojawiły się doniesienia o kolejnym ataku tego samego szkodnika na inną firmę naftową na Bliskim Wschodzie.

Znaczenie Shamoona polega na tym, że poddał pomysł, który został następnie wykorzystany w szkodniku o nazwie Wiper, szkodliwej funkcji, której celem jest upośledzanie działalności firmy na dużą skalę. Tak jak w przypadku Wipera, wiele szczegółów nie jest jeszcze znanych, np. w jaki sposób szkodliwe oprogramowanie w ogóle zainfekowało systemy lub kto stał za infekcją.

10. Modemy DSL, objęcie firmy Huawei dochodzeniem oraz ataki hakerskie na sprzęt

W październiku 2012 roku ekspert Kaspersky Lab, Fabio Assolini, opublikował szczegóły dotyczące ataku, który był przeprowadzany w Brazylii od 2011 roku poprzez lukę w zabezpieczeniu oprogramowania firmware, dwa szkodliwe skrypty oraz 40 szkodliwych serwerów DNS. W wyniku tej operacji ucierpiało sześciu producentów sprzętu, a miliony brazylijskich użytkowników internetu padło ofiarą długotrwałego i ukradkowego ataku na modemy DSL.

W marcu 2012 roku zespół brazylijskiego CERT-a potwierdził, że na skutek ataku złamano zabezpieczenia ponad 4,5 miliona modemów, które zostały następnie wykorzystane przez cyberprzestępców do wszelkiego rodzaju oszukańczej aktywności.

Podczas konferencji T2 w Finlandii ekspert ds. bezpieczeństwa Felix ‘FX’ Lindner z Recurity Labs GmbH mówił o stosunku do bezpieczeństwa i lukach wykrytych w ruterach z rodziny Huawei. Miało to miejsce po decyzji podjętej przez amerykański rząd o objęciu Huawei dochodzeniem pod kątem ryzyka szpiegostwa.

Przypadki ruterów Huawei oraz DSL w Brazylii nie stanowią jedynie mało znaczących incydentów. Wskazują one na to, że rutery sprzętowe mogą stanowić takie samo, jeśli nie większe, ryzyko dla bezpieczeństwa co starsze lub podejrzane oprogramowanie, które nigdy nie jest aktualizowane. Świadczą one o tym, że obrona stała się bardziej złożona i trudniejsza niż kiedykolwiek – a w niektórych przypadkach nawet niemożliwa.

Wnioski: od wybuchowego po odkrywczy i otwierający oczy

Podczas gdy rok 2013 zbliża się wielkimi krokami, wszyscy zastanawiamy się, co będzie dalej. Jak pokazuje przedstawiona wyżej lista 10 najważniejszych incydentów, nasze prognozy w większości sprawdziły się.

Mimo aresztowania Xaviera Monsegura z grupy LulzSec oraz wielu znanych hakerów z grupy „Anonymous” haktywiści kontynuowali swoje ataki. Wraz z odkryciem Flame’a i Gaussa kampanie cyberwojenne/cyberszpiegowskie nabrały nowego wymiaru. Operacje APT nadal dominowały w doniesieniach prasowych, z których można było się dowiedzieć, że exploity zero-day oraz sprytne metody ataków są stosowane w celu włamywania się do systemów znanych osób. Użytkownicy Mac OS X otrzymali cios zadany przez szkodnika o nazwie Flashfake, który odpowiadał za największą epidemię w tym systemie, natomiast duże firmy zmagały się ze szkodliwym programem, który zainfekował dziesiątki tysięcy komputerów PC.

Najwięksi aktorzy 2011 roku nie zmienili się: nadal znajdowali się wśród nich grupy haktywistów, firmy z branży bezpieczeństwa IT, państwa walczące ze sobą przy użyciu cyberszpiegostwa, największe firmy zajmujące się rozwojem oprogramowania i gier, takie jak Adobe, Microsoft, Oracle czy Sony, organy ścigania oraz tradycyjni cyberprzestępcy, Google poprzez system operacyjny Android, oraz Apple dzięki swojej platformie Mac OS X.

Rok 2011 określiliśmy jako „wybuchowy” i wierzymy, że incydenty, jakie miały miejsce w 2012 r. spowodowały zdziwienie i rozbudziły wyobraźnię. Poznaliśmy nowe wymiary obecnych zagrożeń, a jednocześnie kształtu zaczęły nabierać nowe ataki.