Rozwój szkodliwego oprogramowania w 2008 r.

Transkrypt

1 KASPERSKY SECURITY BULLETIN 2008: STRESZCZENIE Rozwój szkodliwego oprogramowania w 2008 r. Nastąpił wyraźny podział pracy w cyberprzestępczości Autorzy: Siergiej Golowanow Aleksander Gostew Witalij Kamliuk Oleg Zajcew Po raz pierwszy nasz roczny raport dotyczący ewolucji szkodliwego oprogramowania został stworzony na podstawie danych wygenerowanych przez Kaspersky Security Network. Ta nowa technologia nie tylko pozwala firmie Kaspersky Lab uzyskać informacje o zagrożeniach ze strony szkodliwego oprogramowania i śledzić ich ewolucję w czasie rzeczywistym, ale również znacznie przyśpiesza wykrywanie nowych zagrożeń, których nie można jeszcze zidentyfikować przy pomocy sygnatur lub heurystyki. W 2007 roku eksperci twierdzili, że niekomercyjne szkodliwe oprogramowanie wymiera. W 2008 roku sprawdziło się to w przypadku ekskluzywnych szkodliwych programów (stworzonych przez jedną, najwyżej dwie osoby). Ogromna większość trojanów i wirusów wykrytych tego roku została stworzona na sprzedaż. Istniało również spore zapotrzebowanie na usługi wsparcia związane z taką sprzedażą, obejmujące pomoc w obejściu produktów antywirusowych. W cyberprzestępczości rozwinął się wyraźny podział pracy różne grupy osób zaczęły zajmować się różnymi etapami tworzenia, rozprzestrzeniania i wykorzystywania szkodliwych programów. Chiny objęły bezwzględne prowadzenie pod względem tworzenia szkodliwych programów. Chińscy hakerzy nie ograniczali się do tworzenia własnych wariantów programów trojańskich, ale zaczęli również lokalizować szkodliwe programy stworzone w innych państwach. To właśnie chińscy hakerzy stali za dwoma dużymi atakami na strony internetowe, jakie miały miejsce między kwietniem a październikiem 2008 roku. Strona 1

2 Podczas pierwszego ataku, przeprowadzonego między kwietniem a czerwcem 2008 r., hakerzy włamali się na ponad 2 miliony stron internetowych. W dziedzinie rozwoju Malware 2.0. nadal wyróżniali się rosyjscy twórcy wirusów. Największą aktywność przejawiały głównie Rustock.c i Sinowal - dwa rootkity, które stanowią poważne zagrożenie, a implementowane przez nich technologie są jeszcze bardziej wyrafinowane niż te wykorzystywane przez robaki Zhelatin i Warezov. Tak, jak przewidywaliśmy, w 2008 roku renesans przeżywały wirusy plikowe. Ich tradycyjna szkodliwa funkcjonalność - infekowanie plików została rozszerzona o kradzież i możliwość rozprzestrzeniania się za pośrednictwem nośników przenośnych. Ta ostatnia funkcja umożliwia szkodliwym programom w szybkim czasie zainfekować dużą liczbę komputerów na całym świecie. Okazało się, że robaki znajdujące się dyskach flash potrafią obejść tradycyjne metody wykorzystywane do ochrony sieci korporacyjnych (np. oprogramowanie do ochrony poczty i serwerów plikowych przed szkodliwymi programami oraz zapory sieciowe). Po przeniknięciu do stacji roboczej robaki takie potrafią błyskawicznie rozprzestrzeniać się w całej sieci poprzez kopiowanie się na wszystkie dostępne zasoby sieciowe. W 2008 roku zaprzestano rozprzestrzeniania wielu wariantów robaka Zhelatin (znanego jako Storm Worm). Prawie dwuletnia historia tego robaka (pierwsze warianty pojawiły się w styczniu 2007 roku) zrodziła wiele pytań. Niemal mityczny botnet robaka Storm, który według niektórych szacunków składał się z ponad 2 milionów komputerów, nigdy nie wykorzystał całego swojego potencjału i żadne z zapowiadanych gigantycznych wysyłek spamowych czy ataków DDoS nie miały miejsca. Jednym z powodów mogło być zamknięcie RBN (Russian Business Network), firmy hostingowej wykorzystywanej przez cyberprzestepców. Rozgorzały dyskusje na temat tego, jak sieć ta może być zamieszana w niemal każdą aktywność przestępczą w Internecie, co spowodowało, że nieznani właściciele RBN przenieśli swój biznes na dziesiątki stron hostingowych na całym świecie i zaczęli prowadzić swoją działalność w mniej jawny sposób. Strona 2

3 Kilka poważnych ciosów wymierzono w cyberprzestępczość jesienią 2008 roku. Dzięki skoordynowanym działaniom firm internetowych, rządów i firm antywirusowych udało się zamknąć Atrivo/Intercage, EstDomains oraz McColo. Zamknięcie McColo spowodowało gwałtowny spadek ilości spamu w Internecie o ponad 50%. W rezultacie wiele botnetów, które wcześnie były zarządzane za pośrednictwem zamkniętych zasobów, przestało działać. Pomimo faktu, że w ciągu kilku tygodni ilość spamu zaczęła wracać do poprzedniego poziomu, incydent ten należy uważać za jedno z najważniejszych zwycięstw ostatnich lat. Najpoważniejsze problemy 2008 roku dotknęły całą branżę antywirusową i miały poważne implikacje dla branży bezpieczeństwa IT. Problemy te obejmowały: rozprzestrzenianie rootkitów, szkodliwe programy atakujące gry online oraz botnety. Rozprzestrzenianie rootkitów stanowiło poważniejszy problem niż w poprzednim roku. Firma Kaspersky Lab opublikowała w autorskiej Encyklopedii Wirusów VirusList.pl trzy duże artykuły dotyczące tego zagrożenia: Rustock mit czy rzeczywistość?, Ewolucja rootkitów oraz Bootkit: wyzwanie 2008 r.. Wszystkie te publikacje wyjaśniają, w jaki sposób rootkity mogą być wykorzystywane do przeprowadzania wyrafinowanych ataków. Pokazują również, że cała branża antywirusowa musi połączyć wysiłki, aby znaleźć sposób na wykrywanie i leczenie aktywnych rootkitów. W wyniku wzrastającej popularności portali społecznościowych oraz ich aktywnego wykorzystywania w krajach z dużą liczbą nowych użytkowników Internetu (Południowowschodnia Azja, Indie, Chiny, Ameryka Południowa, Turcja, Ameryka Północna i byłe państwa Związku Socjalistycznych Republik Radzieckich), ataki przeprowadzone na i za pośrednictwem takich portali nie stanowiły odosobnionych incydentów, ale powszechne zjawisko. Eksperci szacują, że współczynnik skuteczności rozprzestrzeniania szkodliwego kodu za pośrednictwem portali społecznościowych wynosi około 10% i jest znacznie wyższy niż współczynnik skuteczności rozprzestrzenianie szkodliwego kodu za pośrednictwem poczty elektronicznej (niecałe 1%). Portale społecznościowe wykorzystywane były nie tylko do rozprzestrzeniania nowych szkodliwych programów, ale również do przechwytywania danych oraz przeprowadzania różnych oszustw, łącznie z phishingiem. Najpoważniejszym Strona 3

4 incydentem była epidemia robaka Koobface. Pierwsze warianty tego szkodnika zostały wykryte przez firmę Kaspersky Lab w lipcu 2008 roku, a w grudniu robak ten, którego celem są użytkownicy portali Facebook i MySpace, potrafił atakować również użytkowników Bebo, innego popularnego portalu społecznościowego. W 2008 roku ciągle rosła liczba szkodliwych programów przeznaczonych do kradzieży haseł do gier online: zidentyfikowano nowych trojanów atakujących gry - trzykrotnie więcej niż w 2007 roku (32 374). Chociaż większość światów online zabrania sprzedaży wirtualnych przedmiotów za prawdziwe pieniądze, liczba ich nabywców ciągle wzrasta. Klientów nie interesuje, czy takie przedmioty zostały zdobyte przez innych graczy czy po prostu skradzione przy użyciu szkodliwego kodu. Dzięki temu wzmacnia się pozycja twórców szkodliwego oprogramowania, ponieważ prowadzi to do wzrostu cen wirtualnych przedmiotów oraz kryminalizacji rynku wirtualnych przedmiotów. Botnet, jeszcze kilka lat temu używany tylko przez personel firm antywirusowych, w 2008 roku stał się powszechnie stosowanym terminem. Botnety stały się głównym źródłem spamu, ataków DDoS oraz zaczęły być wykorzystywane do rozprzestrzeniania nowych szkodliwych programów. Należy podkreślić, że botnety są bezpośrednio związane z wszystkimi tematami omówionymi w tym raporcie: rootkitami, atakami na użytkowników portali społecznościowych oraz gry online. Nie ma w tym nic dziwnego, ponieważ obecnie są to dziedziny i technologie skupiające największą uwagę. Co więcej, wydarzenia, jakie miały miejsce w 2008 roku, pokazują, że mogą one stanowić poważny problem w przyszłości i na pewno będą ewoluowały. Pełna wersja raportu zawiera więcej szczegółów dotyczących wymienionych wyżej tematów. Prognoza Nie ma wątpliwości, że zagrożenia, z jakimi borykamy się obecnie, nie znikną w 2009 roku. Cyberprzestępcy nadal będą atakować gry online oraz portale społecznościowe. Strona 4

5 Szkodliwe technologie staną się bardziej wyrafinowane, zwiększy się liczba botnetów, a cyberprzestępczość, jako biznes i związane z nim usługi, będzie ewoluowała. Prognoza ekspertów z firmy Kaspersky Lab dotyczy trendów, które nie są jeszcze wyraźnie ukształtowane, ale mogą mieć znaczący wpływ na rozwój cyberzagrożeń w 2009 roku. Globalne epidemie Eksperci uznali, że w 2008 roku zakończyła się długa epoka globalnych epidemii. Okres ten, który zaczął się w 2000 roku i osiągnął swój punkt szczytowy w latach , charakteryzował się dużą liczbą robaków, które wywoływały globalne epidemie. Początkowo robaki te wykorzystywały do rozprzestrzeniania się pocztę elektroniczną, następnie, pod koniec okresu, rozprzestrzeniały się za pośrednictwem ataków sieciowych. Lata to okres, w którym znacznie wzrosła liczba programów trojańskich przeznaczonych do kradzieży poufnych danych, głównie z kont bankowości online i gier online. Jednak 2009 roku trend ten może się odwrócić. Mogą wystąpić poważne epidemie, które pod względem skali mogą pobić epidemie z poprzednich lat. Rozprzestrzenianie się robaka sieciowego Kido jest pierwszym przykładem takiej epidemii. Współczesny świat cyberprzestępczy wszedł w okres nasycenia rynkowego: liczba osób i grup aktywnych na tym rynku stała się zbyt duża, co doprowadziło do ostrej konkurencji. Mimo to w 2009 roku spodziewamy się wzrostu liczby cyberprzestępców. Głównym powodem jest globalny kryzys ekonomiczny: wzrost liczby bezrobotnych, w połączeniu z mniejszą liczbą posad oferowanych w branży IT z powodu zamykania projektów IT, spowoduje, że wielu wysoko wykwalifikowanych programistów pozostanie bez pracy lub będą cierpieli na brak pieniędzy na skutek obniżenia dochodów. Niektóre z tych osób będą aktywnie rekrutowane przez cyberprzestępców, inne mogą uznać cyberprzestępczość za atrakcyjny sposób zarobienia pieniędzy. Ponieważ pod względem umiejętności technicznych nowi rekruci znacznie przewyższają cyberprzestępców, spowoduje to dużą rywalizację. Tylko jedno podejście zapewni przetrwanie na konkurencyjnym rynku cybernetycznym: infekowanie jak największej liczby maszyn w jak najkrótszym czasie. W tym celu Strona 5

6 cyberprzestępcy będą musieli przeprowadzać regularne ataki na miliony komputerów użytkowników. Trojany atakujące gry: spadek aktywności Przewidywany spadek aktywności trojanów atakujących gry jest sprzeczny ze stanowiskiem utrzymywanym przez większość firm antywirusowych. W chwili obecnej istnieją setki tysięcy trojanów atakujących gry. Łatwość tworzenia tych programów oraz ogromna liczba potencjalnych ofiar, wraz z innymi czynnikami, spowodowała nasycenie tego rynku. Dochody osób utrzymujących się z kradzieży wirtualnych przedmiotów stopniały, jednocześnie zaostrzyła się rywalizacja między cyberprzestępcami. Firmy antywirusowe potrafią poradzić sobie z zalewem szkodliwych programów, których celem są gry online, użytkownicy stają się coraz bardziej świadomi kwestii bezpieczeństwa, a producenci gier podjęli działania w celu powstrzymania nielegalnych operacji przy użyciu skradzionych kont i przedmiotów. Rezultatem może być spadek liczby nowych szkodliwych programów dla gier online oraz liczby grup przestępczych specjalizujących się w ich tworzeniu. Malware 2.5 Malware 2.0 został zastąpiony nowym modelem: dużymi rozproszonymi systemami botnetów. Model ten, stworzony przez rosyjskich hakerów i zaimplementowany w rootkicie Rustock.c, bootkicie Sinowal i kilku innych szkodliwych programach okazał się zarówno bardzo skuteczny jak i niezawodny. Model ten charakteryzuje się: brakiem stałego centrum kontroli botnetu tak zwanym botnetem migrującym wykorzystaniem silnych algorytmów kryptograficznych do komunikacji między centrum kontroli a maszynami w botnecie wykorzystaniem uniwersalnych centrów kontroli w celu zarządzania wieloma różnymi botnetami Strona 6

7 Technologie te są ściśle powiązane z mechanizmami przetwarzania rozproszonego oraz tworzenia systemów, które działają pod znacznym obciążeniem z dużą ilością danych (architektura typu High Load). Przewidujemy coraz większą rywalizację między cyberprzestępczymi grupami w obszarze tworzenia wysoce odpornych systemów rozproszonych. Szkodliwi użytkownicy potrafiący tworzyć własne systemy będą odpowiedzialni za ogólny poziom zagrożeń w przyszłości. Dzieciaki zostaną zastąpione przez poważnych profesjonalistów, którzy mają możliwość pracy w obrębie modelu Malware 2.5. Phishing / oszustwa Oszustwa i phishing w Internecie nabiorą rozpędu. Ataki cyberprzestępców staną się bardziej wyrafinowane i intensywniejsze. Dwa czynniki będą miały wpływ na wzrost ilości oszustw i ataków phishingowych. Po pierwsze, w czasie kryzysu, gdy upadają banki, zmieniają się właściciele lub pojawiają się problemy z wypłatami, oszuści mają wiele nowych możliwości przekonania użytkowników, aby uwierzyli w ich fałszywe wiadomości. Po drugie, poziom techniczny wymagany do rozwijania i rozprzestrzeniania nowych szkodliwych programów zmusi cyberprzestępców do poszukiwania prostszych i łatwiejszych sposobów zarabiania pieniędzy. Phishing może być jednym z atrakcyjniejszych rozwiązań. Migracja na nowe platformy Coraz większa rywalizacja między cyberprzestępcami oraz konieczność infekowania jak największej liczby komputerów spowoduje migrację zagrożeń na platformy, które wcześniej nie były popularnym celem ataków. Celem ataków staną się platformy inne niż Windows, przede wszystkim Mac OS X i platformy mobilne. Wcześniej szkodliwe programy atakujące te platformy były w większości kodem typu proof of concept powstającym wyłącznie w celu demonstrowania nowych metod infekowania. Teraz platformy te mają wystarczająco duży udział w rynku, aby zainteresowali się nimi cyberprzestępcy. Z platformami tymi wiąże się wiele nierozwiązanych kwestii bezpieczeństwa, a ich użytkownicy, przyzwyczajeni do względnego bezpieczeństwa, z reguły nie są przygotowani na ataki szkodliwego oprogramowania. Strona 7

8 Pełna wersja raportu Kaspersky Security Bulletin 2008: Ewolucja szkodliwego oprogramowania jest dostępna w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: Informacje o Kaspersky Lab Kaspersky Lab jest najszybciej działającym na świecie dostawcą ochrony przed zagrożeniami IT, łącznie z wirusami, oprogramowaniem spyware i crimeware, hakerami, phishingiem oraz spamem. Produkty Kaspersky Lab charakteryzują się znakomitym współczynnikiem wykrywalności oraz najszybszym na rynku czasem reakcji na pojawianie się nowych zagrożeń dla użytkowników domowych, małych i średnich firm, korporacji a także dla użytkowników urządzeń mobilnych. Z technologii Kaspersky Lab korzysta wielu dostawców rozwiązań służących do ochrony IT na całym świecie. Więcej informacji o firmie można znaleźć na stronie Najświeższe informacje o zagrożeniach internetowych można znaleźć w Encyklopedii Wirusów prowadzonej przez Kaspersky Lab: Dalszych informacji udziela: Piotr Kupczyk Dyrektor działu prasowego, Kaspersky Lab Polska piotr.kupczyk@kaspersky.pl tel.: , (34) tel. kom.: Kaspersky Lab. Informacje zawarte w niniejszym dokumencie mogą ulegać zmianom bez powiadomienia. Gwarancje dotyczące produktów i usług Kaspersky Lab są zawarte wyłącznie w dokumentach dostarczanych wraz z tymi produktami i usługami. Treści przedstawione w niniejszym dokumencie nie mogą być traktowane jako dodatkowe gwarancje. Firma Kaspersky Lab nie będzie odpowiedzialna za jakiekolwiek błędy techniczne i redakcyjne, które mogą się znaleźć w niniejszym dokumencie. Strona 8