STRESZCZENIE

KASPERSKY SECURITY BULLETIN 2008: STRESZCZENIE
Rozwój szkodliwego oprogramowania w 2008 r.
Nastąpił wyraźny podział pracy w cyberprzestępczości
Autorzy:
Siergiej Golowanow
Aleksander Gostew
Witalij Kamliuk
Oleg Zajcew
Po raz pierwszy nasz roczny raport dotyczący ewolucji szkodliwego oprogramowania
został stworzony na podstawie danych wygenerowanych przez Kaspersky Security
Network. Ta nowa technologia nie tylko pozwala firmie Kaspersky Lab uzyskać
informacje o zagrożeniach ze strony szkodliwego oprogramowania i śledzić ich
ewolucję w czasie rzeczywistym, ale również znacznie przyśpiesza wykrywanie nowych
zagrożeń, których nie można jeszcze zidentyfikować przy pomocy sygnatur lub
heurystyki.
W 2007 roku eksperci twierdzili, że “niekomercyjne” szkodliwe oprogramowanie
wymiera. W 2008 roku sprawdziło się to w przypadku „ekskluzywnych” szkodliwych
programów (stworzonych przez jedną, najwyżej dwie osoby). Ogromna większość
trojanów i wirusów wykrytych tego roku została stworzona na sprzedaż. Istniało również
spore zapotrzebowanie na usługi „wsparcia” związane z taką sprzedażą, obejmujące
pomoc w obejściu produktów antywirusowych. W cyberprzestępczości rozwinął się
wyraźny podział pracy – różne grupy osób zaczęły zajmować się różnymi etapami
tworzenia, rozprzestrzeniania i wykorzystywania szkodliwych programów.
Chiny objęły bezwzględne prowadzenie pod względem tworzenia szkodliwych
programów. Chińscy hakerzy nie ograniczali się do tworzenia własnych wariantów
programów trojańskich, ale zaczęli również lokalizować szkodliwe programy stworzone
w innych państwach. To właśnie chińscy hakerzy stali za dwoma dużymi atakami na
strony internetowe, jakie miały miejsce między kwietniem a październikiem 2008 roku.
Strona 1
Podczas pierwszego ataku, przeprowadzonego między kwietniem a czerwcem 2008 r.,
hakerzy włamali się na ponad 2 miliony stron internetowych.
W dziedzinie rozwoju Malware 2.0. nadal wyróżniali się rosyjscy twórcy wirusów.
Największą aktywność przejawiały głównie Rustock.c i Sinowal - dwa rootkity, które
stanowią poważne zagrożenie, a implementowane przez nich technologie są jeszcze
bardziej wyrafinowane niż te wykorzystywane przez robaki Zhelatin i Warezov.
Tak, jak przewidywaliśmy, w 2008 roku renesans przeżywały wirusy plikowe. Ich
tradycyjna szkodliwa funkcjonalność - infekowanie plików – została rozszerzona
o kradzież
i
możliwość
rozprzestrzeniania
się
za
pośrednictwem
nośników
przenośnych. Ta ostatnia funkcja umożliwia szkodliwym programom w szybkim czasie
zainfekować dużą liczbę komputerów na całym świecie.
Okazało się, że robaki znajdujące się dyskach flash potrafią obejść tradycyjne metody
wykorzystywane do ochrony sieci korporacyjnych (np. oprogramowanie do ochrony
poczty i serwerów plikowych przed szkodliwymi programami oraz zapory sieciowe). Po
przeniknięciu do stacji roboczej robaki takie potrafią błyskawicznie rozprzestrzeniać się
w całej sieci poprzez kopiowanie się na wszystkie dostępne zasoby sieciowe.
W 2008 roku zaprzestano rozprzestrzeniania wielu wariantów robaka Zhelatin (znanego
jako Storm Worm). Prawie dwuletnia historia tego robaka (pierwsze warianty pojawiły
się w styczniu 2007 roku) zrodziła wiele pytań. Niemal mityczny „botnet robaka Storm”,
który według niektórych szacunków składał się z ponad 2 milionów komputerów, nigdy
nie wykorzystał całego swojego potencjału i żadne z zapowiadanych gigantycznych
wysyłek spamowych czy ataków DDoS nie miały miejsca.
Jednym z powodów mogło być zamknięcie RBN (Russian Business Network), firmy
hostingowej wykorzystywanej przez cyberprzestepców. Rozgorzały dyskusje na temat
tego, jak sieć ta może być zamieszana w niemal każdą aktywność przestępczą
w Internecie, co spowodowało, że nieznani właściciele RBN przenieśli swój biznes na
dziesiątki stron hostingowych na całym świecie i zaczęli prowadzić swoją działalność
w mniej jawny sposób.
Strona 2
Kilka poważnych ciosów wymierzono w cyberprzestępczość jesienią 2008 roku. Dzięki
skoordynowanym działaniom firm internetowych, rządów i firm antywirusowych udało
się zamknąć Atrivo/Intercage, EstDomains oraz McColo. Zamknięcie McColo
spowodowało gwałtowny spadek ilości spamu w Internecie – o ponad 50%.
W rezultacie wiele botnetów, które wcześnie były zarządzane za pośrednictwem
zamkniętych zasobów, przestało działać. Pomimo faktu, że w ciągu kilku tygodni ilość
spamu zaczęła wracać do poprzedniego poziomu, incydent ten należy uważać za jedno
z najważniejszych zwycięstw ostatnich lat.
Najpoważniejsze problemy 2008 roku dotknęły całą branżę antywirusową i miały
poważne implikacje dla branży bezpieczeństwa IT. Problemy te obejmowały:
rozprzestrzenianie rootkitów, szkodliwe programy atakujące gry online oraz botnety.
Rozprzestrzenianie rootkitów stanowiło poważniejszy problem niż w poprzednim roku.
Firma Kaspersky Lab opublikowała w autorskiej Encyklopedii Wirusów VirusList.pl trzy
duże artykuły dotyczące tego zagrożenia: „Rustock – mit czy rzeczywistość?”,
„Ewolucja rootkitów” oraz „Bootkit: wyzwanie 2008 r.”. Wszystkie te publikacje
wyjaśniają, w jaki sposób rootkity mogą być wykorzystywane do przeprowadzania
wyrafinowanych ataków. Pokazują również, że cała branża antywirusowa musi połączyć
wysiłki, aby znaleźć sposób na wykrywanie i leczenie aktywnych rootkitów. W wyniku
wzrastającej
popularności
portali
społecznościowych
oraz
ich
aktywnego
wykorzystywania w krajach z dużą liczbą nowych użytkowników Internetu (Południowowschodnia Azja, Indie, Chiny, Ameryka Południowa, Turcja, Ameryka Północna i byłe
państwa Związku Socjalistycznych Republik Radzieckich), ataki przeprowadzone na
i za pośrednictwem takich portali nie stanowiły odosobnionych incydentów, ale
powszechne
zjawisko.
Eksperci
szacują,
że
współczynnik
skuteczności
rozprzestrzeniania szkodliwego kodu za pośrednictwem portali społecznościowych
wynosi
około
10%
i
jest
znacznie
wyższy
niż
współczynnik
skuteczności
rozprzestrzenianie szkodliwego kodu za pośrednictwem poczty elektronicznej (niecałe
1%).
Portale społecznościowe wykorzystywane były nie tylko do rozprzestrzeniania nowych
szkodliwych
programów,
przeprowadzania
różnych
ale
również
oszustw,
do
łącznie
przechwytywania
z
phishingiem.
danych
oraz
Najpoważniejszym
Strona 3
incydentem była epidemia robaka Koobface. Pierwsze warianty tego szkodnika zostały
wykryte przez firmę Kaspersky Lab w lipcu 2008 roku, a w grudniu robak ten, którego
celem są użytkownicy portali Facebook i MySpace, potrafił atakować również
użytkowników Bebo, innego popularnego portalu społecznościowego.
W 2008 roku ciągle rosła liczba szkodliwych programów przeznaczonych do kradzieży
haseł do gier online: zidentyfikowano 100 397 nowych trojanów atakujących gry trzykrotnie więcej niż w 2007 roku (32 374). Chociaż większość światów online zabrania
sprzedaży wirtualnych przedmiotów za prawdziwe pieniądze, liczba ich nabywców
ciągle wzrasta. Klientów nie interesuje, czy takie przedmioty zostały zdobyte przez
innych graczy czy po prostu skradzione przy użyciu szkodliwego kodu. Dzięki temu
wzmacnia się pozycja twórców szkodliwego oprogramowania, ponieważ prowadzi to do
wzrostu
cen
wirtualnych
przedmiotów
oraz
kryminalizacji
rynku
wirtualnych
przedmiotów.
„Botnet”, jeszcze kilka lat temu używany tylko przez personel firm antywirusowych,
w 2008 roku stał się powszechnie stosowanym terminem. Botnety stały się głównym
źródłem spamu, ataków DDoS oraz zaczęły być wykorzystywane do rozprzestrzeniania
nowych szkodliwych programów.
Należy podkreślić, że botnety są bezpośrednio związane z wszystkimi tematami
omówionymi
w
tym
raporcie:
rootkitami,
atakami
na
użytkowników
portali
społecznościowych oraz gry online. Nie ma w tym nic dziwnego, ponieważ obecnie są
to dziedziny i technologie skupiające największą uwagę. Co więcej, wydarzenia, jakie
miały miejsce w 2008 roku, pokazują, że mogą one stanowić poważny problem
w przyszłości i na pewno będą ewoluowały.
Pełna wersja raportu zawiera więcej szczegółów dotyczących wymienionych wyżej
tematów.
Prognoza
Nie ma wątpliwości, że zagrożenia, z jakimi borykamy się obecnie, nie znikną w 2009
roku. Cyberprzestępcy nadal będą atakować gry online oraz portale społecznościowe.
Strona 4
Szkodliwe technologie staną się bardziej wyrafinowane, zwiększy się liczba botnetów,
a cyberprzestępczość, jako biznes i związane z nim usługi, będzie ewoluowała.
Prognoza ekspertów z firmy Kaspersky Lab dotyczy trendów, które nie są jeszcze
wyraźnie ukształtowane, ale mogą mieć znaczący wpływ na rozwój cyberzagrożeń
w 2009 roku.
Globalne epidemie
Eksperci uznali, że w 2008 roku zakończyła się długa epoka globalnych epidemii. Okres
ten, który zaczął się w 2000 roku i osiągnął swój punkt szczytowy w latach 2003 - 2005,
charakteryzował się dużą liczbą robaków, które wywoływały globalne epidemie.
Początkowo robaki te wykorzystywały do rozprzestrzeniania się pocztę elektroniczną,
następnie, pod koniec okresu, rozprzestrzeniały się za pośrednictwem ataków
sieciowych. Lata 2007 - 2008 to okres, w którym znacznie wzrosła liczba programów
trojańskich przeznaczonych do kradzieży poufnych danych, głównie z kont bankowości
online i gier online. Jednak 2009 roku trend ten może się odwrócić. Mogą wystąpić
poważne epidemie, które pod względem skali mogą „pobić” epidemie z poprzednich lat.
Rozprzestrzenianie się robaka sieciowego Kido jest pierwszym przykładem takiej
epidemii.
Współczesny świat cyberprzestępczy wszedł w okres nasycenia rynkowego: liczba
osób i grup aktywnych na tym rynku stała się zbyt duża, co doprowadziło do ostrej
konkurencji. Mimo to w 2009 roku spodziewamy się wzrostu liczby cyberprzestępców.
Głównym powodem jest globalny kryzys ekonomiczny: wzrost liczby bezrobotnych, w
połączeniu z mniejszą liczbą posad oferowanych w branży IT z powodu zamykania
projektów IT, spowoduje, że wielu wysoko wykwalifikowanych programistów pozostanie
bez pracy lub będą cierpieli na brak pieniędzy na skutek obniżenia dochodów. Niektóre
z tych osób będą aktywnie rekrutowane przez cyberprzestępców, inne mogą uznać
cyberprzestępczość za atrakcyjny sposób zarobienia pieniędzy. Ponieważ pod
względem
umiejętności
technicznych
nowi
rekruci
znacznie
przewyższają
cyberprzestępców, spowoduje to dużą rywalizację.
Tylko jedno podejście zapewni przetrwanie na konkurencyjnym rynku cybernetycznym:
infekowanie jak największej liczby maszyn w jak najkrótszym czasie. W tym celu
Strona 5
cyberprzestępcy będą musieli przeprowadzać regularne ataki na miliony komputerów
użytkowników.
Trojany atakujące gry: spadek aktywności
Przewidywany spadek aktywności trojanów atakujących gry jest sprzeczny ze
stanowiskiem utrzymywanym przez większość firm antywirusowych. W chwili obecnej
istnieją setki tysięcy trojanów atakujących gry. Łatwość tworzenia tych programów oraz
ogromna liczba potencjalnych ofiar, wraz z innymi czynnikami, spowodowała nasycenie
tego rynku.
Dochody osób utrzymujących się z kradzieży wirtualnych przedmiotów stopniały,
jednocześnie zaostrzyła się rywalizacja między cyberprzestępcami. Firmy antywirusowe
potrafią poradzić sobie z zalewem szkodliwych programów, których celem są gry online,
użytkownicy stają się coraz bardziej świadomi kwestii bezpieczeństwa, a producenci
gier podjęli działania w celu powstrzymania nielegalnych operacji przy użyciu
skradzionych kont i przedmiotów. Rezultatem może być spadek liczby nowych
szkodliwych programów dla gier online oraz liczby grup przestępczych specjalizujących
się w ich tworzeniu.
Malware 2.5
Malware 2.0 został zastąpiony nowym modelem: dużymi rozproszonymi systemami
botnetów. Model ten, stworzony przez rosyjskich hakerów i zaimplementowany
w rootkicie Rustock.c, bootkicie Sinowal i kilku innych szkodliwych programach okazał
się zarówno bardzo skuteczny jak i niezawodny.
Model ten charakteryzuje się:
brakiem stałego centrum kontroli botnetu – tak zwanym „botnetem migrującym”
wykorzystaniem silnych algorytmów kryptograficznych do komunikacji między
centrum kontroli a maszynami w botnecie
wykorzystaniem uniwersalnych centrów kontroli w celu zarządzania wieloma
różnymi botnetami
Strona 6
Technologie te są ściśle powiązane z mechanizmami przetwarzania rozproszonego
oraz tworzenia systemów, które działają pod znacznym obciążeniem z dużą ilością
danych (architektura typu High Load). Przewidujemy coraz większą rywalizację między
cyberprzestępczymi grupami w obszarze tworzenia wysoce odpornych systemów
rozproszonych. Szkodliwi użytkownicy potrafiący tworzyć własne systemy będą
odpowiedzialni za ogólny poziom zagrożeń w przyszłości. Dzieciaki zostaną zastąpione
przez poważnych profesjonalistów, którzy mają możliwość pracy w obrębie modelu
Malware 2.5.
Phishing / oszustwa
Oszustwa i phishing w Internecie nabiorą rozpędu. Ataki cyberprzestępców staną się
bardziej wyrafinowane i intensywniejsze.
Dwa czynniki będą miały wpływ na wzrost ilości oszustw i ataków phishingowych. Po
pierwsze, w czasie kryzysu, gdy upadają banki, zmieniają się właściciele lub pojawiają
się problemy z wypłatami, oszuści mają wiele nowych możliwości przekonania
użytkowników, aby uwierzyli w ich fałszywe wiadomości. Po drugie, poziom techniczny
wymagany do rozwijania i rozprzestrzeniania nowych szkodliwych programów zmusi
cyberprzestępców do poszukiwania prostszych i łatwiejszych sposobów zarabiania
pieniędzy. Phishing może być jednym z atrakcyjniejszych rozwiązań.
Migracja na nowe platformy
Coraz większa rywalizacja między cyberprzestępcami oraz konieczność infekowania jak
największej liczby komputerów spowoduje migrację zagrożeń na platformy, które
wcześniej nie były popularnym celem ataków. Celem ataków staną się platformy inne
niż Windows, przede wszystkim Mac OS X i platformy mobilne. Wcześniej szkodliwe
programy atakujące te platformy były w większości kodem typu „proof of concept”
powstającym wyłącznie w celu demonstrowania nowych metod infekowania. Teraz
platformy te mają wystarczająco duży udział w rynku, aby zainteresowali się nimi
cyberprzestępcy. Z platformami tymi wiąże się wiele nierozwiązanych kwestii
bezpieczeństwa, a ich użytkownicy, przyzwyczajeni do względnego bezpieczeństwa,
z reguły nie są przygotowani na ataki szkodliwego oprogramowania.
Strona 7
Pełna wersja raportu „Kaspersky Security Bulletin 2008: Ewolucja szkodliwego
oprogramowania” jest dostępna w Encyklopedii Wirusów VirusList.pl prowadzonej przez
Kaspersky Lab: http://viruslist.pl/analysis.html?newsid=527.
Informacje o Kaspersky Lab
Kaspersky Lab jest najszybciej działającym na świecie dostawcą ochrony przed
zagrożeniami IT, łącznie z wirusami, oprogramowaniem spyware i crimeware,
hakerami, phishingiem oraz spamem. Produkty Kaspersky Lab charakteryzują się
znakomitym współczynnikiem wykrywalności oraz najszybszym na rynku czasem
reakcji na pojawianie się nowych zagrożeń dla użytkowników domowych, małych
i średnich firm, korporacji a także dla użytkowników urządzeń mobilnych. Z technologii
Kaspersky Lab korzysta wielu dostawców rozwiązań służących do ochrony IT na całym
świecie. Więcej informacji o firmie można znaleźć na stronie www.kaspersky.pl.
Najświeższe informacje o zagrożeniach internetowych można znaleźć w Encyklopedii
Wirusów prowadzonej przez Kaspersky Lab: www.viruslist.pl.
Dalszych informacji udziela:
Piotr Kupczyk
Dyrektor działu prasowego, Kaspersky Lab Polska
[email protected]
tel.: 0 801 000 215, (34) 368 18 15
tel. kom.: 503 090 398
©
2009 Kaspersky Lab. Informacje zawarte w niniejszym dokumencie mogą ulegać zmianom bez powiadomienia.
Gwarancje dotyczące produktów i usług Kaspersky Lab są zawarte wyłącznie w dokumentach dostarczanych wraz
z tymi produktami i usługami. Treści przedstawione w niniejszym dokumencie nie mogą być traktowane jako dodatkowe
gwarancje. Firma Kaspersky Lab nie będzie odpowiedzialna za jakiekolwiek błędy techniczne i redakcyjne, które mogą
się znaleźć w niniejszym dokumencie.
Strona 8