A sci-fik által megjósolt kiberhadviselés valósággá vált

A finn F-Secure, a világ vezető IT-biztonsági vállalata kiadta 2012. első féléves jelentését a legfontosabb kiberfenyegetésekről. A jelentés szerint az IT-és adatbiztonsági károkozók jelentős fejlődésen mentek keresztül; a hagyományos malware-ek (rosszindulatú számítógépes programok) jelentette fenyegetésről a hangsúly áttevődött az állami megrendelésre vagy támogatással végrehajtott kibertámadásokra. Az F-Secure jelentése nem csupán a játszma szabályait végleg átíró kártevőket, hanem azokat a legkomolyabb károkozókat is bemutatja, amelyek 2012 első félévében célozták meg a fogyasztókat.

Az egyik legfontosabb ezek közül a sebezhetőségek kihasználását előrecsomagolva elősegítő exploit kitek. Közülük a legnagyobb károkat a Blackhole okozta, amely több mint 100 változattal és folyamatosan frissített sebezhetőségi adatbázissal rendelkezik. A sebezhetőségi csomagra többek között olyan kártevőcsaládok épültek, mint az online banki adatok lopására fejlesztett Zeus trójai vírus, vagy a különböző ransomware (zsaroló) és rogueware (hamis biztonsági szoftver) típusú rosszindulatú programok. A 2012 első felének következő fontos adatbiztonsági eseménye a Flashback trójai vírus februári kitörése volt, ami egy Java sebezhetőséget kihasználva több mint 600.000 Mac-et fertőzött meg világszerte, ez becslések szerint az elérhető gépek 1 százalékát érintette. Szintén említésre méltó momentum, hogy az okostelefonok térhódításával a mobil eszközökre írt vírusok terjedése is meglódult, ami az előző negyedévhez képest 64 százalékos növekedést jelentett. 2012 második negyedévében 19 új Androidra írt víruscsaládot regisztráltak, továbbá 21 új változatra is rábukkantak a már ismert víruscsaládok esetében.

„A Stuxnet és utódjai, a Flame vagy a Gauss végleg megváltoztatták a kiberhadviselés játékszabályait, megjelenésükkel tanúi lehetünk a katonai hackerek között folyó háború első ütközeteinek. Mivel ma már tényleg mindent behálóz az informatika, az országok inkább kártevő programokkal támadják meg egymást, a kiberhadviselés forradalma pedig a szemünk előtt zajlik” – mondta Mikko Hypponen, az F-Secure kutatási igazgatója. „Az év első felében meggyőződhettünk arról is, hogy nem csökkentek a vírusok és a kártevő programok jelentette támadások sem. Nem elegendő csak egyféle módon védekezni, a legalapvetőbb megoldást mégis az jelenti, ha az antivírus programunk legfrissebb változatát használjuk minden eszközünkön” – tette hozzá Mikko Hypponen.

Az F-Secure Threat Report 2012 rövid összefoglalója

 

A kiberhadviselés kapujában állunk
Az F-Secure Labs, a vállalat kutatási részlegének becslései szerint a Stuxnet kifejlesztése nem kevesebb, mint 10 ember egy éves munkaidejébe került. Ez azt jelenti, hogy a kiberhadviselés nagyon is életképes érdekérvényesítő stratégiának bizonyul a megszokott módszerek – például diplomáciai tárgyalások vagy bojkottok – helyett. Mindössze egy héttel a vírus felfedezése után az amerikai kormány elismerte, hogy a Stuxnetet közösen fejlesztette az izraeli hadsereggel. A Stuxnethez egyértelműen kapcsolódott a Flame, amelyre 2012 májusában bukkantak rá. A kártevőt az F-Secure szerint kémtámadásra használták nyugati hírszerző ügynökségek a Közel-Keleten. A Flame többek között billentyűzet-naplózó és képernyőmentő szolgáltatásokkal is segíti a kémkedést. A kártevő ezen felül rákeres minden Office dokumentumra, PDF, Autodesk és szövegfájlra a helyi és a hálózati meghajtókon, sőt képes arra is, hogy az így eltulajdonított szövegből kinyerje a támadók számára releváns tartalmat. Sőt, a Flame képes a felhasználó számára észrevétlenül bekapcsolni a fertőzött gép mikrofonját, hogy lehallgassa, audio fájlba mentse és továbbítsa a gép közelében zajló párbeszédeket. Ez a veszélyes trójai emellett detektál minden digitális kamerával készült fényképet, amelyekből GPS adatokat nyer ki és küld tovább, valamint képes megtalálni a fertőzött géppel párosított bluetooth eszközöket, és kinyerni azok névjegyzékét vagy egyéb hasznos információit.

Bankoló trójaiak
2012 első felében tovább terjedt az úgynevezett bankoló trójai kártevők két családja, a Zeus és a SpyEye. Az első jellemzően a billentyűzetleütések elemzésével és az online űrlapok adatainak felhasználásával támad, míg konkurense minden előzetes figyelmeztetés nélkül a bankszámlánkat üríti ki az online bejelentkezést követően. Az online banki adatok lopására szakosodott trójai kártevők az utóbbi években modulárisan felépülő és a bűnözői csoportok igényeinek megfelelően formálható malware keretrendszerekké alakultak át. A többi szoftvertermékhez hasonlóan, ezeket is fejlesztői eszköztárak segítségével készítik és folyamatosan fejlesztik, hogy később a tényleges támadó számára eladhatóvá váljanak. Míg a SpyEye keretrendszerének fejlesztése úgy tűnik megakadt, a Zeus második verziójának forráskódjából származtatható malware tovább burjánzik, a Zeus botnet márciusi bezárása ellenére. Az F-Secure felhő keresési rendszerének adatai szerint a Zeus és SpyEye fertőzések 72 százalékát Nyugat-Európában azonosították, míg a többi megoszlik az USA, Kanada és India között.

A Mac-ek sem sebezhetetlenek többé
2012 elején kiderült az is, hogy az Apple számítógépek sem immunisak többé a támadásokkal szemben. Az úgynevezett Flashback trójai egy Java sebezhetőséget használ ki, és több mint 600.000 Mac-et fertőzött meg világszerte. A támadás durva becslés szerint az elérhető gépek 1 százalékát érintette, így ez az egyik legnagyobb méretű fertőzés a Windows rendszereket ért 2003-as Blaster és a 2009-es Conficker féregtámadások óta. A Flasback egy klasszikus online átirányítási mechanizmussal terjedt el: a felhasználók ellátogattak egy veszélyes weboldalra, ami azonnal átirányította őket egy Flashback-kel fertőzött honlapra. Amikor 2012 februárjában először kitört a Flashback járvány, a Java-t fejlesztő Oracle kiadott egy javítócsomagot a Windows felhasználók számára. Az Apple azonban éppen ezt megelőzően hajtott végre Java frissítéseket OS X-re, így még nem rendelkezett a megfelelő javítással, ami több ezer OS X Java felhasználót tett a vírus potenciális áldozatává. A Flasback trójai egy komplex kártevő, például képes „összezárni” magát a fertőzött hosttal, majd titkosítottan kommunikál a vezérlő szerverekkel. Az ilyen szintű kifinomultság egyértelműen arra enged következtetni, hogy a kártevőt malware-ek írásában több éves tapasztalattal rendelkező profi hekkercsoportok készítették.

Előre csomagolt fenyegetések

A sebezhetőségek kihasználása az utóbbi években egyre népszerűbbé, mára szinte a legkedveltebb eszközzé vált az online bűnözők körében. Tevékenységük felgyorsítása és egyszerűsítése érdekében a támadók elkezdték ezeket a sérüléseket összegyűjteni, és csomagba – úgynevezett exploit kitbe – rendezve árulni, és folyamatosan frissíteni a legutóbbi fejlesztésekkel. Így automatikusan gyártható kártevő például az Internet Explorer, az Adobe Reader vagy a Java gyenge pontjaira építve. A támadók különböző stratégiákat választanak a kártevők terjesztésére, leggyakrabban fertőzött oldalakkal, keresőoptimalizálással és manipulatív eszközökkel vonzzák a felhasználókat a kívánt weboldalakra. A látogató számítógépét és böngészőjét a csomag megszondázza, így kiderül, hogy az nyitva áll-e az exploit kitben található fenyegetések előtt, amelyek ha kiaknázható sérülékenységet találnak, megfertőzik és manipulálhatóvá teszik az eszközt. Az egyik leghatékonyabb és legnépszerűbb ilyen exploit kit a Blackhole, amelyre olyan kártevőcsaládok épültek, mint a fentebb említett Zeus trójai vírus, vagy a különböző ransomware és rogueware típusú rosszindulatú programok.

Jelentősen nőtt a mobil eszközök fenyegetettsége

Az okostelefonok ellen irányuló támadások legfőbb célpontja az Android. Az operációs rendszerre írt kártevők száma az Androidos okostelefonok terjedésével egyenes arányosan tavaly kezdett jelentősen nőni, a trend pedig tovább folytatódott 2012-ben. A második negyedévben már 5333 különböző kártékony alkalmazást detektált az F-Secure, ami 64 százalékos növekedést jelent az előző negyedévhez képest. 2012 második negyedévében 19 új Androidra írt víruscsaládot regisztráltak, továbbá 21 új változatot a már ismert víruscsaládok esetében, ez utóbbiak jelentős százaléka a FakeInst és opFakeFamilies családokból származik. Mindezek alapján 2012 elkövetkező hónapjaira is további fejlődés jósolható az Android vírusok fejlesztésében. Bemutatkozott ugyanis két fontos technológia, a letöltés alapú (drive by download) módszer, amely a terjesztést segíti elő (ilyen például a trojan-proxy:android/NotCompatible.A.), valamint az olyan micro-blogging szolgáltatók bot-ként való-használata, mint a Twitter (ilyen például a trojan:android/Cawitt). A jelentés kitér arra az érdekességre is, hogy az Andoid vírusok hajlamosak regionális támadásokra koncentrálódni.

Zsarolás rendőrségi riasztással, gyerekpornóval

Reneszánszukat élik az úgynevezett ransomware típusú fenyegetések, amelyek zsarolási módszerrel csalnak ki pénzt az áldozatokból. A kártevők egyik legelterjedtebb válfaja megszerzi a kontrollt a felhasználó számítógépe vagy adatai felett, majd különböző fenyegetésekkel (például rendőrségi riasztás gyerekpornó tartalomért) kihasználja az áldozat meglepettségét, szégyenérzetét vagy félelmét, és az irányítás visszanyerése érdekében kényszeríti a váltságdíj összegének kifizetésére. Az utóbbi hónapokban az úgynevezett Reveton kártevőtörzs volt a legaktívabb, amely leginkább Nyugat-Európában szedte áldozatait. Érdekesség, hogy a Zeus kártevőcsalád egyik változata is elkezdett ransomware kártevőkhöz köthető szolgáltatásokat használni.

Továbbra is terjednek a hamis antivírus programok

A hamis antivírus és –kémprogramok régóta okoznak kellemetlenségeket a számítógépes felhasználóknak. A roguewareként vagy scarewareként ismert kártevők felhasználói felülete legális szoftverekére hasonlít, így manipulatív módon félrevezetik a felhasználót, és csalással, legtöbbször hamis vírus-szkennelési adatokkal győzik meg az adott program próbaverziójának letöltéséről, telepítéséről, majd a „teljes változat” megvásárlásáról. 2012 második negyedévében az F-Secure felmérései alapján a legnépszerűbb hamis biztonsági szoftvercsaládok közül a kompromittált gépek 40 százalékát a Security Shield, 35 százalékát a Security Sphere, 20 százalékát a FakeAV, további 5 százalékán pedig a Privacy Protection fertőzte meg.

A teljes F-Secure Threat Report 2012 letölthető a következő weboldalról: http://www.f-secure.com/static/doc/labs_global/Research/Threat_Report_H1_2012.pdf

 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció