Wirusy i ataki sieciowe IV-VI 2005

Przeczytaj także: Ewolucja złośliwego oprogramowania 2008

Ataki hakerów

Instalowaniem koni trojańskich w sieciach banków i organizacji rządowych zajmują się profesjonaliści. Oczywiście jest wiele szeregowych autorów wirusów, którzy tworzą i utrzymują botnety (sieci zainfekowanych komputerów) raczej na niższym poziomie. Pomimo nagłośnienia przypadków masowego rozsyłania trojanów wywołują one stosunkowo niewielkie lokalne epidemie i atakują najsłabiej zabezpieczonych użytkowników Internetu - tych, którzy wcale nie wykorzystują oprogramowania antywirusowego albo nie aktualizują systemu operacyjnego.

Wykorzystanie poczty elektronicznej do wywołania epidemii związane jest obecnie z wieloma problemami i nie przynosi dużych zysków. Brak luk krytycznych lub takich, które mogłyby umożliwić stworzenie robaka pocztowego pozwalającego na osiągnięcie zysków finansowych, jest dodatkową przeszkodą dla twórców wirusów, ponieważ oznacza konieczność znalezienia nowych metod przeniknięcia komputerów potencjalnych ofiar.

Poprzedni raport kwartalny firmy Kaspersky Lab opisywał zagrożenia związane z lukami w niektórych wersjach przeglądarek internetowych. Sytuacja nie poprawiła się od tego czasu. Luka MHTML URL Processing Vulnerability wciąż należy do najczęściej wykorzystywanych przez twórców wirusów. Jest to jednak tylko jeden z aspektów tego problemu - aby można było wykorzystać te lukę, trzeba nakłonić użytkowników do odwiedzenia niezabezpieczonej strony.

Można osiągnąć to na dwa sposoby. Pierwszym z nich jest stworzenie na dowolnym serwerze specjalnej witryny posiadającej stronę ze złośliwym kodem. Następnie przy pomocy technik spamowych należy rozesłać wiadomość e-mail zachęcającą użytkowników do wejścia na tę stronę - jest to klasyczna forma socjotechniki. Do masowego rozesłania wiadomości można wykorzystać inne programy, jak np. aplikacje IM (komunikatory internetowe).

Metoda ta jest najstarsza i najbardziej znana. W praktyce, większość takich witryn istnieje przez bardzo krótki czas, do momentu zamknięcia ich przez osoby udzielające miejsca na serwerze na prośbę firm antywirusowych lub organów ścigania przestępczości.

Druga metoda jest stosunkowo nowa: polega na atakowaniu popularnych witryn. Cyber-przestępców interesują powszechnie odwiedzane strony, ponieważ nie muszą już masowo rozsyłać wiadomości e-mail, aby zachęcić ogromną ilość użytkowników do odwiedzenia takich stron. Najczęściej atakowane witryny wykorzystują popularne silniki PHP (PhpBB, PhpNuke, WorldPress i inne). Dlaczego? Ponieważ w programach tych nieustannie wykrywane są luki, które umożliwiają nielegalne dodanie skryptów do wielu podstron witryny. W grudniu 2004 r. robak Santy udowodnił, jak szybko i łatwo można zaatakować dziesiątki, a nawet setki takich witryn. Cyber-przestępcy atakujący podobne witryny wykorzystują techniki zastosowane przez robaka Santy.

Możemy wyróżnić jeszcze jedną metodę wykorzystywaną przez autorów trojanów w celu uzyskania dostępu do witryn: infekowanie komputera właściciela lub firmy udostępniającej miejsce na witrynę, przez co zdobywają oni kontrolę nad kontem, z którego zarządzana jest witryna.

Przykładem takiego podejścia jest seria tegorocznych ataków na witryny wykorzystujące silniki PHP w rosyjskim segmencie Internetu. W większości przypadków celem ataków było zainstalowanie na komputerach użytkowników końcowych trojana szpiegującego LdPinch. Również tego roku głośny był incydent ataku na serwer MSN Korea. Według ekspertów z branży antywirusowej, minęło około 5 dni od momentu zaatakowania strony do wykrycia trojana. W tym czasie każdy, kto odwiedził stronę, mógł zostać zainfekowany, stało się tak w przypadku kilku tysięcy komputerów. Zidentyfikowano trojana wykorzystanego do przeprowadzenia ataku - jest to kolejny program szpiegujący kradnący konta użytkowników w popularnej grze on-line LineAge. W poprzednim raporcie kwartalnym alarmowaliśmy, że gry on-line oraz ich abonenci stają się celem cyber-przestępców; incydent z serwerem MSN Korea potwierdził nasze przewidywania.