APT
Jeżeli grudzień jest idealnym miesiącem na prognozowanie trendów na kolejny rok, oznacza to również, że jest to idealny czas na podsumowanie mijającego roku pod kątem bezpieczeństwa IT.
Kolekcja zaawansowanych długotrwałych cyberzagrożeń (APT – Advanced Persistent Threats)
Grupa zagrożeń APT zdecydowanie NIE zmalała w 2014 roku. Badacze z Kaspersky Lab opublikowali swoje raporty dotyczące co najmniej 6 różnych grup ataków. W lutym pisaliśmy
o hiszpańskojęzycznej kampanii „The Mask”, która była już aktywna od ponad 7 lat. Operacja „The Mask” (hiszp. „Careto”) bazowała na łatwym w modyfikacji zestawie szkodliwego, wieloplatformowego oprogramowania, które zostało zaprojektowane do kradzieży poufnych danych z agencji rządowych, ambasad, firm energetycznych, instytucji badawczych i działaczy społecznych w 31 krajach na całym świecie.
Innym przykładem była wszechstronna kampania „Epic Turla”, która pojawiła się miesiąc później,
w marcu, i była zaprojektowana tak, aby atakować swoje ofiary za pomocą luk typu zero-day (czyli takich, dla których nie istnieją jeszcze łaty) w programie Adobe Acrobat, systemie Windows XP oraz serwerze Microsoft Windows.
W czerwcu inna grupa „przygarnęła” pół miliona euro w przeciągu jednego tygodnia, po wycelowaniu ataku w klientów dużego, europejskiego banku w ramach kampanii nazwanej „Luuuk”. Po tym ataku Kaspersky Lab nie był w stanie dotrzeć do żadnych próbek szkodliwego oprogramowania, jednak eksperci uważają, że zostały skradzione nazwy użytkowników, hasła i jednorazowe kody dostępu które były wykorzystywane do sprawdzenie stanu konta ofiary oraz wykonywania automatycznych transakcji.
10 tech-trendów 2014 r. w kategorii bezpieczeństwa IT.
Tweet
W czerwcu pojawiła się nowa wersja kampanii „MiniDuke” nazwana „CosmicDuke”, która dotknęła rządy, placówki dyplomatyczne, firmy energetyczne, grupy militarne oraz operatorów telekomunikacyjnych. Co ciekawe kampania była również wycelowana w grupy przestępcze zajmujące się przemytem nielegalnych substancji takich jak sterydy czy hormony wzrostu.
O kolejnym ataku – „Crouching Yeti” – Kaspersky Lab poinformował pod koniec lipca, gdy na jaw wyszły wycieki własności intelektualnej oraz innych poufnych danych z takich krajów jak Syria, Turcja, Arabia Saudyjska, Liban, Palestyna, Zjednoczone Emiraty Arabskie, Izrael, Maroko, Francja oraz Stany Zjednoczone. Ataki były prowadzone z adresów IP zlokalizowanych na terenie Syrii, Rosji, Libanu, Stanów Zjednoczonych oraz Brazylii.
Kolejna kluczowa kampania, ujawniona w listopadzie, to „DarkHotel„. Atakujący infekowali hotelowe sieci w regionie Azji i Pacyfiku, aby zainstalować szkodliwe oprogramowanie na komputerach wyselekcjonowanych dyrektorów korporacji, którzy podróżują po całym świecie.
Ogromne luki oraz internet rzeczy
Badacze z firmy Kaspersky Lab zauważyli niepokojącą zbieżność błędów dotykających prawie każdego w internecie, a także błyskawiczną adaptację tzw. internetu rzeczy, czyli urządzeń, które są bliżej naszego codziennego życia niż tradycyjny komputer. Rozpowszechnione luki takie jak „Heartbleed” i „Shellshock” (lub inaczej Bashdoor) funkcjonowały w nieznanej liczbie systemów przez długi czas. Ich pełny wpływ jest obecnie nieznany (i prawdopodobnie tak pozostanie).
Nowoczesny dom jest szokująco podatny na hakowanie.
Tweet
Podczas gdy popularność urządzeń takich jak sprzęt AGD połączony z internetem czy termostaty z własnym adresem IP jest w dalszym ciągu stosunkowo niska, większość nowoczesnych domów jest naładowana urządzeniami takimi jak Smart TV, routery, urządzenia mobilne, tradycyjne komputery czy konsole do gier. Urządzenia te również zawierają luki – jak każdy system operacyjny, oprogramowanie czy aplikacje – a te „drobne ułomności” jak Heartbleed czy Bashdoor mogą pozostawać na urządzeniu użytkownika bez jego wiedzy nawet przez wiele lat. Problem stanowi fakt, że urządzenia te są często trudniejsze do uaktualnienia niż tradycyjne komputery i aplikacje. Jak zauważył David Jacoby z Kaspersky Lab – współczesny dom jest szokująco podatny na zhakowanie.
Zagrożenia mobilne nadal się rozwijają
Od 2004 do końca 2013 r. eksperci z Kaspersky Lab przeanalizowali prawie 200 tysięcy unikatowych próbek mobilnego szkodliwego oprogramowania. Dla porównania – w samym 2014 r. próbek takich było aż 295 539. Większość zagrożeń mobilnych powstaje z myślą o kradzieży danych dostępowych do kont bankowych, a w efekcie kradzieży samych pieniędzy. W 2014 r. badacze z Kaspersky Lab zauważyli również, że wzrosła liczba mobilnych programów wyłudzających okup (tzw. ransomware) oraz fałszywych antywirusów dla smartfonów i tabletów. Co więcej, iOS – system operacyjny firmy Apple – został zaatakowany przez trojana WireLurker, który jako pierwszy szkodliwy program potrafi infekować mobilną platformę Apple’a, nawet jeżeli na urządzeniu nie został przeprowadzony jailbreak.
A wracając do programów wyłudzających okup…
Niezależnie od tego czy było to blokowanie dostępu do urządzenia użytkownika czy też zaszyfrowanie wszystkich plików na zainfekowanej maszynie – szkodniki typu ransomware miały swój złoty rok. Ten czas należał do CryptoLockera, CoinVaulta, ZeroLockera oraz wielu innych szkodliwych programów, które wymuszały na użytkownikach zapłacenie pieniędzy, przeważnie bitcoinów, w celu odblokowania ich urządzeń. Niektórzy eksperci uważają, że ransomware ma dopiero przed sobą świetlaną przyszłość, ale spokojnie – są sposoby na radzenie sobie z tym zagrożeniem:
„Operacje typu ransomware bazują na wymuszeniu zapłaty od ofiary”, wyjaśnia zespół badawczy Kaspersky Lab. „Nie rób tego! Lepiej abyś zadbał o tworzenie regularnych kopii zapasowych swoich danych. W ten sposób, jeśli kiedykolwiek padniesz ofiarą szkodliwego programu (lub nawet problemu ze swoim sprzętem, który uniemożliwi Ci dostęp do plików), nie stracisz żadnych danych”.
Skimming bankomatów
Co prawda mechanizmy i szkodliwe oprogramowanie zaprojektowane w celu rabowania pieniędzy oraz poufnych danych finansowych konsumentów nie są czymś nowym, jednak rok 2014 zdecydowanie był obfity dla skimmerów, czyli osób parających się podrabianiem kart płatniczych i modyfikowaniem bankomatów. Szczególnie wyrafinowanym przykładem było szkodliwe oprogramowanie o nazwie „Tyupkin„. Przestępcy z Azji, Europy oraz Ameryki Łacińskiej uzyskali najpierw fizyczny dostęp do bankomatów, po czym przy użyciu płyt CD instalowali na nich Tyupkina. Po prawidłowym wykonaniu tego etapu, zainfekowana maszyna była uruchamiana ponownie i od tego momentu mogła być kontrolowana przez napastników. Przestępcy wysyłali swoich ludzi, aby za pomocą specjalnych kodów wypłacili gotówkę.
Niestety wiele bankomatów ciągle działa w oparciu o stare systemy operacyjne, w których znajduje się wiele niezałatanych luk bezpieczeństwa. To sprawia, że ich fizyczna ochrona staje się jeszcze ważniejsza; apelujemy więc do wszystkich banków, aby przeprowadziły przegląd bezpieczeństwa swoich bankomatów.
Każda luka dla systemu Windows XP jest bardzo poważna
Firma Microsoft oficjalnie zakończyła już wspieranie Windows XP. Oznacza to, że miesięczny zestaw łatek z poprawkami do wykrytych luk, które były przesyłane we wtorkowym biuletynie, został pomniejszony o poprawki do błędów w popularnym XP-ku. Innymi słowy, każdy błąd wykryty po
8 kwietnia 2014 r. stanie się automatycznie luką zero-day. Nie byłoby z tym dużego problemu, gdyby nie jeden zasadniczy aspekt – Windows XP posiada około 14 % udziałów w rynku systemów operacyjnych. Poza użytkownikami domowymi, z systemu tego korzystają także urządzenia takie jak bankomaty, elementy infrastruktury krytycznej, urządzenia medyczne a nawet komputery pracowników banków czy lekarzy. Nie ulega zatem żadnej wątpliwości, że Windows XP pozostanie atrakcyjnym – i stosunkowo łatwym – celem dla cyberprzestępców.
Sieć Tor
Sieć Tor pozwalająca na zachowanie anonimowości w internecie wdarła się do mainstreamu w 2014 r. Badacze zauważyli, że wzrost aktywności w tej sieci mógł być ściśle powiązany z gorącą kwestią prywatności, wywołaną ujawnieniem przed Edwarda Snowdena, rządowych praktyk inwigilacji przez NSA. Niestety, Tor jest również siedliskiem zasobów przestępczych. W sieci tej można umieścić normalne, legalne serwery oraz tak zwane „ukryte usługi”, które pozwalają na tworzenie rynków zbytu dla rożnego rodzaju nielegalnych towarów i usług.
Dualna natura oprogramowania
„Niestety, programów nie można podzielić po równo: na te dobre i złe”, skomentował badacz z Kaspersky Lab. „Zawsze istnieje ryzyko, że oprogramowanie opracowane do celów zgodnych z prawem może zostać wykorzystane przez cyberprzestępców. Na spotkaniu Kaspersky Security Analyst Summit, które odbyło się lutym 2014 r., zaprezentowaliśmy przykłady niewłaściwego wdrożenia technologii zabezpieczających przed kradzieżą, które były zakotwiczone w oprogramowaniu systemowym powszechnie używanych laptopów i niektórych komputerów stacjonarnych, i mogły stać się poważną bronią w rękach cyberprzestępców”.
Istotnie – pisałem o tajemniczej luce w programie Computrance przy okazji tegorocznej konferencji Black Hat. Niestety, ludzie z chorymi intencjami mogą wykorzystać każdą słuszną i uzasadnioną funkcję „dobrego” oprogramowania.
Istnieje jednak druga strona medalu: „legalne” oprogramowanie, które służy do wątpliwie etycznej działalności. Jednym z takich przykładów jest „Remote Control System (RCS)” opracowany przez włoską firmę o nazwie Hacking Team. RCS oraz platformy o podobnym działaniu są – technicznie – legalne, jednak despotyczne reżimy używają ich jako narzędzia do szpiegowania dysydentów oraz obrońców praw człowieka, zarówno w swoich krajach, jak i poza nimi.
Polityka badaczy z firmy Kaspersky Lab za priorytet stawia wykrywanie i neutralizowanie wszelkiego rodzaju ataków szkodliwego oprogramowania, niezależnie od jego pochodzenia lub przeznaczenia.
Prywatność vs. bezpieczeństwo
Niemal każdego miesiąca obserwowaliśmy nowy skandal związany z naruszaniem prywatności w Sieci, jednak – jak pokazuje praktyka – użytkownicy w dalszym ciągu nie są gotowi poświęcić wygody, by zwiększyć bezpieczeństwo swoich danych online. Znakomitym przykładem może być wyciek zdjęć światowych gwiazd z iClouda: nie doszłoby do takiej sytuacji, gdyby te konta były ochronione silnymi, unikatowymi hasłami. Ponadto, Apple oferuje uwierzytelnianie dwuetapowe i gdyby tylko właściciele tych zaatakowanych kont skorzystali z tej opcji, to zapewne nie mielibyśmy do czynienia z żadnym wyciekiem.
Z drugiej strony naruszanie zabezpieczeń, a następnie obwinianie „nieudolnego” konsumenta jest niekompetentne i firmy technologiczne, które oferują usługi online powinny zadbać o kompleksowe bezpieczeństwo wewnątrz własnych organizacji. Dlatego też ogłoszenia takich firm jak Apple i Google dotyczące domyślnego szyfrowania urządzeń mobilnych oraz nowa usługa uwierzytelniania Twittera („Digits”) stanowią obiecujący krok naprzód w świecie bezpieczeństwa w 2014 r.
Organy ścigania uczą się łapać cyberprzestępców
Ostatnią już kwestią, ale z pewnością nie najmniej istotną, są sukcesy organów ścigania, które pomimo nastawionej pejoratywnie prasy, mierzą się z wyjątkowo niewdzięcznym i ciężkim zadaniem. W mijającym roku badacze z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky Lab stali za częścią sukcesów, z którymi mierzył się wymiar sprawiedliwości.
Koalicja sił policyjnych z całego świata zebrała się, aby razem zamknąć botnet „GameOver Zeus”, który stanowił jeden z największych „zestawów narzędzi” cyberprzestępczych na rynku. Przestępcy korzystali z tego pakietu nie tylko do kradzieży danych logowania, ale również do dystrybuowania CryptoLockera – szkodliwego oprogramowania wyłudzającego okup za przywrócenie dostępu do zaszyfrowanych danych
Na liście swoich osiągnieć Kaspersky Lab ma także znaczący wkład w międzynarodową walkę z trojanem bankowym „Shylock”, który był stosowany do kradzieży danych logowania do systemów bankowości online.
Porady