26/02/2014

Niektóre szkodliwe oprogramowanie jest tworzone po to, aby niszczyć świat

Zagrożenia

Cytując Costina Raiu, dyrektora Globalnego Zespołu ds. Badań i Analiz (ang. GReAT) z Kaspersky Lab, większość szkodliwych plików, które znamy możemy charakteryzować w kategoriach oprogramowania przestępczego – programów komputerowych zaszczepianych w naszych urządzeniach, które są stworzone w celu kradzieży naszych poufnych i osobistych danych, zasobów na komputerze, a nawet bezpośrednio pieniędzy. Drugą, bardziej powszechną kategorię, stanowią wszelkie złośliwe programy, które zostały zaprojektowane specjalnie do cyberszpiegostwa i nierzadko są używane przez wiele całkiem poważnych podmiotów, jak na przykład państwa, międzynarodowe korporacje czy hojnych darczyńców z klasy wyższej. Trzecią, już nie tak liczna grupę, stanowią programy, które mają na celu tylko i wyłącznie działanie destrukcyjne – czasami nazywane są wiperami.

wipers

Jak się okazuje, pierwsze szkodliwe programy miały wyłącznie charakter niszczycielski. W późnych latach 90-tych internet nie był jeszcze tak powszechną skarbnicą wartościowych danych w porównaniu do obecnych czasów. Ponadto, zorganizowane grupy cyberprzestępcze dopiero miały dostrzec potencjał związany z „wydobywaniem” danych finansowych, które w ówczesnych czasach były łatwo dostępnym zasobem. Tym samym, tak jak działają współczesne programy wyłudzające (ransomware), ówcześni przestępcy tworzyli programy, które szyfrowały dyski komputera albo uszkadzały dane w inny sposób. Działania pierwszych trojanów oraz ich twórców ocierały się raczej o kategorię „zabawnych psot”. O ile mi wiadomo, pieniądze nie stanowiły istotnego bodźca do tego typu działań.

Tak naprawdę destrukcyjne programy typu wiper nigdy nie zniknęły na dobre. Ich mechanizm działania został jedynie zrewitalizowany nowymi możliwościami w mrocznych czasach wzajemnych cyberataków: zarówno pomiędzy państwami, jak i w relacjach państwo-korporacja. W rzeczywistości, w ciągu ostatnich trzech lat, nasi przyjaciele z SecureList zbadali nie mniej niż 5 samodzielnych ataków typu wiper.

Pierwszy z nich, nazwany po prostu Wiper, był tak skuteczny, że swoim zasięgiem objął tysiące irańskich komputerów, które zostały zainfekowane, po czym szkodnik kompletnie zniszczył sam siebie oraz wszystkie pozostawione prze siebie ślady. Z tego powodu nikt nie był w stanie zbadać próbek tego szkodliwego oprogramowania. W porównaniu do innych destrukcyjnych ataków, to zagrożenie wyglądało jak niepoukładana nowela – infekując na oślep losowe maszyny. Niemniej jednak, Wiper stał się ważnym elementem w historii cyberataków – ktokolwiek go stworzył z jakichkolwiek pobudek, mógł stać się inspiracją dla kolejnych ataków z użyciem szkodliwego oprogramowania.

Możliwość dotarcia do dziesiątek tysięcy komputerów przez oprogramowanie typu wiper – i to za sprawą jednego kliknięcia – uświadamia wielkość potencjału tego narzędzia w rękach cyberarmi

Uważa się, że kolejny szkodnik – Shamoon – miał swoje korzenie w tajemniczym Wiperze. Szczep tego wirusa został namierzony w wewnętrznej sieci w jednej z najcenniejszych firm na świecie, a z pewnością będącą największym producentem ropy na dobę, Saudi Aramco. Shamoon wykonał „szybką robotę” w Saudi Arabian Oil Company w sierpniu 2012 roku, niszcząc zawartość ponad 30 tysięcy stacji roboczych korporacji. Niektórzy uważają, że oprogramowanie to zostało stworzone w Iranie, pomimo że jedna z grup hakerskich przyznała się do tych ataków. Nie zmienia to faktu, że tym razem nie udało się idealnie zatrzeć śladu, jak miało to miejsce w przypadku Wipera. Diagnozując Shamoona badacze doszli do wniosku, że stosowane metody były bardzo prymitywne, ale za to piekielnie skuteczne.

Następny w kolejności był Narilam, przebiegły typ złośliwego oprogramowania, który był ukierunkowany na zainfekowanie baz danych niektórych aplikacji finansowych ulokowanych niemal wyłącznie w Iranie. Narilam zdecydowanie wyróżniał się na tle wcześniejszych zagrożeń – jego działania były powolne, zaprojektowane z myślą o długotrwałym sabotażu. Kaspersky Lab zidentyfikował wiele różnych wersji tego wirusa – niektóre z nich pochodziły z 2008 roku. Długotrwałe działania szkodników pokroju Narilama mogą w dłuższej perspektywie być o wiele bardziej niebezpieczne niż by się mogło wydawać.

Tuż za Narilamem, pojawił się Groovemonitor (znany także jako Maya). Irański odpowiednik komputerowego zespołu ds. interwencji kryzysowych jako pierwszy odkrył tego wirusa w 2012 roku – został on wówczas nazwany. Było to stosunkowo proste zagrożenie, które jednak atakowało urządzenia ofiar bardziej z siłą maczugi, aniżeli z chirurgiczną precyzją. Groovemonitor miał zdefiniowany zakres działania ograniczony ustalonym przedziałem czasowym. W określonym momencie niszczył on wszystkie pliki znajdujące się na wszelkich dyskach – od D po I.

Najaktualniejszym zagrożeniem typu wiper jest był Dark Seoul, który został wykorzystany w skoordynowanych atakach na banki oraz firmy z branży medialnej w Korei Południowej. To działanie także różniło się od dwóch poprzednich ataków razem wziętych i to przynajmniej z dwóch powodów. Po pierwsze – swoim zasięgiem nie objęło krajów Zatoki Perskiej (Iranu czy Arabii Saudyjskiej). Po drugie, jego twórcom zależało chyba bardziej na zdobyciu sławy aniżeli na przeprowadzeniu tajnej operacji, biorąc pod uwagę jawny charakter operacji.

„Możliwość dotarcia do dziesiątek tysięcy komputerów przez oprogramowanie typu wiper – i to za sprawą jednego kliknięcia – uświadamia wielkość potencjału tego narzędzia w rękach cyberarmi”, podkreślił Raiu w raporcie SecureList.

Wipery stanowią trzeciorzędne zagrożenie w naszej hierarchii, co sprawia, że ani Ty, ani ja nie powinniśmy się szczególnie nimi martwić. Niemniej jednak, nie istnieje za dużo możliwości obrony, z których codzienni użytkownicy internetu mogliby skorzystać, aby ochronić swojego dostawcę wody czy energii przed szkodliwym oprogramowaniem, które może zaatakować przemysłowe systemy sterowania (sprzęt i oprogramowanie, które kontrolują sieci energetyczne, cały proces produkcji itp.). To są te rodzaje zagrożeń, które powinny być skrupulatnie monitorowane i  neutralizowane przez wyspecjalizowane firmy zajmujące się bezpieczeństwem w sieci, firmy zarządzające  infrastrukturą krytyczną oraz – z pewnością najistotniejszy podmiot – rządy państw.

Dobrą nowiną – przynajmniej dla mieszkańców Stanów Zjednoczonych oraz najbliższych sojuszników tego kraju – jest to, że Kongres Stanów Zjednoczonych ma wkrótce głosować nad uchwaleniem międzypartyjnej, popieranej przez sektor prywatny, ustawy „National Cybersecurity and Critical Infrastructure Protection Act of 2013”. Dokument ten ma przede wszystkim promować wymianę informacji dotyczących aktualnych zagrożeń pomiędzy rządem a firmami zarządzającymi infrastrukturą krytyczną. Podobne prawne ustalenia są aktualnie rozważane w wielu innych krajach na całym świecie.