Zagrożenia internetowe I kw. 2013
2013-05-29 13:55
Zagrożenia internetowe I kw. 2013 © lolloj - Fotolia.com
W najnowszym raporcie eksperci z Kaspersky Lab analizują rozwój zagrożeń IT w pierwszym kwartale 2013 roku. Trzy pierwsze miesiące roku obfitowały w ważne incydenty, zwłaszcza te dotyczące cyberszpiegostwa i cyberbroni.
Przeczytaj także: Zagrożenia internetowe I-VI 2012
Pierwszy kwartał w 2013 roku okazał się pracowitym okresem w branży bezpieczeństwa IT. W raporcie tym zostały opisane najważniejsze wydarzenia.Cyberszpiegostwo i cyberbroń
Red October
Na samym początku roku Kaspersky Lab opublikował istotny raport zawierający wyniki badania dotyczącego globalnej operacji cyberszpiegowskiej pod nazwą Czerwony Październik. Celem badanych ataków były różne agencje rządowe, organizacje dyplomatyczne i firmy na całym świecie. Analiza plików i odtworzenie struktury ataku trwały kilka miesięcy. Jednak w wyniku przeprowadzonego badania udało nam się ustalić kilka kluczowych faktów.
Osoby atakujące działały aktywnie przez ostatnie pięć lat. Stosując wielofunkcyjną platformę, cyberprzestępcy mogli szybko wykorzystywać nowe, rozszerzone moduły w celu gromadzenia informacji. Aby kontrolować i zarządzać zainfekowanymi systemami, stworzyli ponad 60 różnych nazw domen i kilka serwerów utrzymywanych w różnych krajach. Infrastruktura serwera kontroli składa się z łańcucha serwerów proxy.
Oprócz tradycyjnych ataków ukierunkowanych na stacje robocze, Czerwony Październik potrafi również kraść dane z urządzeń mobilnych, gromadzić dane ze sprzętu sieciowego, pliki z urządzeń USB, kraść bazy e-maili z lokalnych archiwów Outlooka lub ze zdalnych serwerów POP/IMAP i rozpakowywać pliki z lokalnych serwerów FTP w Internecie.
MiniDuke
W lutym FireEye opublikował analizę nowego szkodliwego programu, który przenika do systemów za pośrednictwem luki 0-day w aplikacji Adobe Reader (CVE-2013-0640). Szkodnik ten stał się pierwszym exploitem potrafiącym obejść sandboksa Acrobata Readera. Pobierał backdoora stworzonego w celu kradzieży danych z zainfekowanego systemu. Po otrzymaniu próbek tego szkodnika do analizy nadaliśmy mu nazwę ItaDuke.
Z czasem wykryliśmy kilka podobnych incydentów, w których wykorzystywana była ta sama luka, ale stosowano różne zagrożenia. Wykorzystywany przez cyberprzestępców szkodliwy program otrzymał nazwę MiniDuke. Dochodzenie w sprawie tych incydentów przeprowadziła węgierska firma CrySys Lab. Ofiarami MiniDuke’a okazały się agencje rządowe zlokalizowane na Ukrainie, w Belgii, Portugalii, Rumunii, Republice Czeskiej oraz Irlandii, jak również organizacja badawcza na Węgrzech oraz instytut badawczy, dwa centra badawczo-naukowe i ośrodek medyczny w Stanach Zjednoczonych. Łącznie zidentyfikowaliśmy 59 ofiar w 23 krajach.
Jedną z najbardziej interesujących cech ataków przy użyciu MiniDuke’a było połączenie zagrożenia, którego kod został napisany przy użyciu złożonej metody wywodzącej się z tzw. „starej szkoły” oraz stosunkowo nowych ale wypróbowanych technologii exploitów wykorzystujących luki w Adobe Readerze.
Osoby atakujące rozesłały szkodliwe dokumenty PDF zawierające exploity dla Adobe Readera w wersji 9 – 11. Dokumenty te zawierały informacje na temat seminarium dotyczącego praw człowieka (ASEM), wiadomości z dziedziny polityki zagranicznej Ukrainy oraz plany państw NATO. Jeżeli atak exploita powiódł się, do komputera ofiary przenikał unikatowy backdoor, o rozmiarze jedynie 20 KB, napisany w Assemblerze.
W opisywanym ataku cyberprzestępcy wykorzystali Twittera: w celu uzyskania adresów serwera kontroli, a następnie pobrania nowych szkodliwych modułów, backdoor szukał specjalnych tweetów z utworzonych wcześniej kont. Jak tylko zainfekowany system ustanowił połączenie z serwerem kontroli, zaczynał otrzymywać zaszyfrowane moduły (backdoory) powiązane z plikami GIF. Moduły te posiadały stosunkowo proste funkcje: kopiowanie, przemieszczanie i usuwanie plików, tworzenie folderów i pobieranie nowych szkodliwych programów.
APT1
W lutym Mandiant opublikował obszerny raport PDF dotyczący ataków przeprowadzonych przez pewną grupę chińskich hekerów znanych pod nazwą APT1. Termin APT (Advanced Persistent Threat) to wciąż modne określenie. Czasami jednak odnosi się do zagrożeń lub ataków, które w rzeczywistości wcale nie są „zaawansowane”. Jednak w przypadku APT1, słowo „zaawansowany” nie jest stosowane na wyrost – ta prowadzona przez chińskich hakerów kampania charakteryzuje się ogromną skalą i nie należy jej lekceważyć.
Raport Mandiant rozpoczyna się stwierdzeniem, że grupa APT1 prawdopodobnie jest oddziałem chińskiej armii. Firma ta wskazała nawet potencjalny adres fizyczny tego oddziału jak również oszacowała liczbę tworzących go osób i wykorzystywaną infrastrukturę. Mandiant uważa, że APT1 działa od 2006 roku i na przestrzeni 6 lat grupa ta zdołała ukraść terabajty danych z co najmniej 141 organizacji. Ofiary jej ataków zlokalizowane są głównie w państwach anglojęzycznych. Przeprowadzenie takich masowych ataków z pewnością nie byłoby możliwe bez realnego wsparcia setek osób oraz rozwiniętej, nowoczesnej infrastruktury.
Chiny nie po raz pierwszy zostały oskarżone o udział w przeprowadzeniu cyberataków na agencje rządowe i organizacje w różnych państwach na świecie. Nie dziwi też fakt, że rząd chiński zdecydowanie zaprzecza twierdzeniom zawartym w raporcie firmy Mandiant.
Należy zauważyć, że jak dotąd żadne państwo nie wzięło odpowiedzialności za żaden atak cyberszpiegowski ani nie przyznało się do udziału w cyberszpiegostwie pod presją opinii publicznej lub dowodu dostarczonego przez agencję.
Przeczytaj także:
Zaawansowane i ukierunkowane cyberataki 2013
oprac. : eGospodarka.pl
Więcej na ten temat:
cyberprzestępcy, ataki internetowe, ataki hakerów, szkodliwe programy, wirusy, trojany, robaki, zagrożenia internetowe, luki w zabezpieczeniach, exploity, botnet
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)