Petra
13 °C
18 °C

2012: a kiberbűnözés éve

2012. 09. 19. 15:54
| Módosítva: 2013. 07. 04. 14:04

A finn F-Secure biztonsági cég kiadta a 2012-es év első felét elemző jelentését a legfontosabb kiberfenyegetésekről. A jelentés szerint az IT- és adatbiztonsági károkozók jelentős fejlődésen mentek keresztül: a hagyományos malware-ek jelentette fenyegetésről a hangsúly áttevődött az állami megrendelésre, illetve támogatással végrehajtott kibertámadásokra.

A jelentés nem csupán az eddigi játszma szabályait átíró kártevőket, hanem azokat a károkozókat is bemutatja, amelyek 2012 első félévében célozták meg a fogyasztókat. Az egyik legfontosabb ezek közül a sebezhetőségek kihasználását előrecsomagolva elősegítő exploit kitek. Ezek közül a legnagyobb károkat a Blackhole okozta, amely több mint száz változattal és folyamatosan frissített sebezhetőségi adatbázissal rendelkezik. A sebezhetőségi csomagra többek között olyan kártevőcsaládok épültek, mint az online banki adatok lopására fejlesztett Zeus trójai vírus, vagy a különböző ransomware (zsaroló) és rogueware (hamis biztonsági szoftver) típusú programok.

2012 első felének másik fontos adatbiztonsági eseménye a Flashback trójai vírus februári kitörése volt, ami a Java sebezhetőségét kihasználva több mint hatszázezer Macet fertőzött meg világszerte; ez becslések szerint az elérhető gépek egy százalékát érintette. Szintén említésre méltó momentum, hogy az okostelefonok térhódításával a mobil eszközökre írt vírusok terjedése is meglódult; ez az előző negyedévhez képest 64 százalékos növekedést takar. 2012 második negyedévében tizenkilenc új, Androidra írt víruscsaládot regisztráltak, továbbá a már ismert víruscsaládok huszonegy új változatra is rábukkantak.

Bekapcsolódó mikrofon, leszkennelt fényképek

Az F-Secure Labs, a vállalat kutatási részlegének becslései szerint a hírhedt Stuxnet kifejlesztéséhez legalább tíz ember egyéves munkájára volt szükség. Ez azt jelenti, hogy a kiberhadviselés nagyon is életképes érdekérvényesítő stratégiának bizonyul a megszokott módszerek, például diplomáciai tárgyalások vagy bojkottok helyett. Mindössze egy héttel a vírus felfedezése után az amerikai kormány elismerte, hogy a Stuxnetet közösen fejlesztette az izraeli hadsereggel.

A Stuxnethez egyértelműen kapcsolódott a Flame, amelyre 2012 májusában bukkantak rá. A kártevőt az F-Secure szerint kémtámadásra használták nyugati hírszerző ügynökségek a Közel-Keleten. A Flame többek között billentyűzet-naplózó és képernyőmentő szolgáltatásokkal is segíti a kémkedést. A kártevő ezen felül rákeres minden Office-dokumentumra, valamint minden pdf-, Autodesk- és szövegfájlra a helyi és a hálózati meghajtókon, sőt az így eltulajdonított szövegből kinyerheti a támadók számára releváns tartalmakat.

A Flame észrevétlenül bekapcsolhatja a fertőzött gép mikrofonját, hogy lehallgassa, rögzítse és továbbítsa a gép közelében zajló párbeszédeket. A veszélyes trójai a digitális kamerával készült fényképeket is vizsgálja: ezekből GPS-adatokat szerez és továbbítja őket, ráadásul képes megtalálni a fertőzött géppel párosított Bluetooth-eszközöket, és kinyerni azok névjegyzékét vagy egyéb hasznos információit.

A bankszámlánk sincs biztonságban

2012 első felében tovább terjedt az úgynevezett bankoló trójai kártevők két családja, a Zeus és a SpyEye. Az első jellemzően a billentyűzet-leütések elemzésével és az online űrlapok adatainak felhasználásával támad, míg konkurense minden előzetes figyelmeztetés nélkül a bankszámlánkat üríti ki az online bejelentkezés után.

Az online banki adatok lopására szakosodott trójai kártevők az utóbbi években modulárisan felépülő és a bűnözői csoportok igényeinek megfelelően formálható malware keretrendszerekké alakultak át. A többi szoftverhez hasonlóan ezeket is fejlesztői eszköztárak segítségével készítik és folyamatosan fejlesztik, hogy később a tényleges támadó számára eladhatóvá váljanak.

Míg a SpyEye keretrendszerének fejlesztése, úgy tűnik, megakadt, a Zeus második verziójának forráskódjából származtatható malware tovább burjánzik, még a Zeus botnet márciusi bezárása ellenére is. Az F-Secure felhőkeresési rendszerének adatai szerint a Zeus- és SpyEye-fertőzések 72 százalékát Nyugat-Európában azonosították, míg a többi megoszlik az USA, Kanada és India között.

A Macek sem sebezhetetlenek

2012 elején az is kiderült, hogy az Apple-számítógépek sem immunisak a támadásokkal szemben. A Flashback trójai a Java egyik sebezhető pontját kihasználva több mint 600 ezer Macet fertőzött meg világszerte. A támadás durva becslés szerint az elérhető gépek egy százalékát érintette, így ez az egyik legnagyobb méretű fertőzés a Windows-rendszereket ért 2003-as Blaster-, illetve a 2009-es Conficker-támadások óta.

A Flasback egy klasszikus online átirányítási mechanizmussal terjedt el: a felhasználók ellátogattak egy veszélyes weboldalra, ami azonnal átirányította őket egy Flashbackkel fertőzött honlapra. Amikor 2012 februárjában először kitört a Flashback-járvány, a Javát fejlesztő Oracle kiadott egy javítócsomagot a Windows-felhasználók számára. Az Apple azonban éppen ezt megelőzően hajtott végre Java-frissítéseket OS X-re, így még nem rendelkezett a megfelelő javítással, ami több ezer OS X Java-felhasználót tett a vírus potenciális áldozatává.

A Flasback trójai egy komplex kártevő; képes például összezárni magát a fertőzött hosttal, majd titkosítottan kommunikál a vezérlő szerverekkel. Az ilyen szintű kifinomultság miatt jogosnak tűnhet a következtetés, miszerint a kártevőt malware-ek írásában több éves tapasztalatot szerzett profi hackercsoportok készítették.

Exploited

A sebezhetőségek kihasználása az utóbbi években egyre népszerűbbé, mára szinte a legkedveltebb eszközzé vált az online bűnözők körében. Tevékenységük felgyorsítása és egyszerűsítése érdekében a támadók elkezdték ezeket a sérüléseket összegyűjteni, és csomagokba, úgynevezett exploit kitekbe rendezve árulni, és folyamatosan frissíteni a legutóbbi fejlesztésekkel. Így automatikusan gyártható kártevő például az Internet Explorer, az Adobe Reader vagy a Java gyenge pontjaira építve.

A támadók különböző stratégiákat választanak a kártevők terjesztésére. Leggyakrabban fertőzött oldalakkal, keresőoptimalizálással és manipulatív eszközökkel vonzzák a felhasználókat a kívánt weboldalakra. A látogató számítógépét és böngészőjét a csomag megszondázza, így kiderül, hogy az nyitva áll-e az exploit kitben található fenyegetések előtt, amelyek megfertőzik és manipulálhatóvá teszik az eszközt, ha kiaknázható sérülékenységet találnak. Az egyik leghatékonyabb és legnépszerűbb exploit kit a Blackhole, amelyre olyan kártevőcsaládok épültek, mint a fentebb említett Zeus trójai vírus, vagy a különböző ransomware és rogueware típusú rosszindulatú programok.

Népszerű célpont az Android is

Az okostelefonok ellen irányuló támadások legfőbb célpontja az Android. Az operációs rendszerre írt kártevők száma az androidos okostelefonok terjedésével egyenes arányban tavaly kezdett jelentősen nőni, a trend pedig tovább folytatódott 2012-ben is. A második negyedévben már 5333 különböző kártékony alkalmazást detektált az F-Secure: ez 64 százalékos növekedést jelent az előző negyedévhez képest. 2012 második negyedévében 19 új, Androidra írt víruscsaládot regisztráltak, továbbá 21 új változatot a már ismert víruscsaládok esetében. Ez utóbbiak jelentős százaléka a FakeInst és az opFakeFamilies családokból származik.

Mindezek alapján 2012 elkövetkező hónapjaira is további fejlődés jósolható az Android-vírusok fejlesztésében. Bemutatkozott ugyanis két fontos technológia, a letöltés alapú módszer, amely a terjesztést segíti elő, valamint az olyan mikroblogszolgáltatók botként való használata, mint a Twitter. A jelentés kitér arra az érdekességre is, hogy az Andoid-vírusok hajlamosak regionális támadásokra koncentrálódni.

Virtuális gyermekrablás, hamis antivírus-programok

Reneszánszukat élik az úgynevezett ransomware típusú fenyegetések is: ezek zsarolási módszerrel csalnak ki pénzt az áldozatokból. A kártevők egyik legelterjedtebb válfaja megszerzi a kontrollt a felhasználó számítógépe vagy adatai felett, majd különböző fenyegetésekkel - például rendőrségi riasztás gyerekpornó tartalomért - kihasználja az áldozat meglepettségét, szégyenérzetét vagy félelmét, és az irányítás visszanyerése érdekében kényszeríti a váltságdíj összegének kifizetésére. Az utóbbi hónapokban az úgynevezett Reveton kártevőtörzs volt a legaktívabb, amely leginkább Nyugat-Európában szedte áldozatait. Érdekesség, hogy a Zeus kártevőcsalád egyik változata is elkezdett ransomware kártevőkhöz köthető szolgáltatásokat használni.

A hamis antivírus szoftverek és kémprogramok régóta okoznak kellemetlenségeket a felhasználóknak. A rogueware-ként vagy scareware-ként ismert kártevők felhasználói felülete legális szoftverekére hasonlít, így manipulatív módon félrevezetik a felhasználót, majd csalással – legtöbbször hamis vírusszkennelési adatokkal – győzik meg az adott program próbaverziójának letöltéséről, telepítéséről, majd a teljes változat megvásárlásáról.

Az F-Secure felmérései alapján 2012 második negyedévében a legnépszerűbb hamis biztonsági szoftvercsaládok közül a kompromittált gépek 40 százalékát a Security Shield, 35 százalékát a Security Sphere, 20 százalékát a FakeAV, további 5 százalékán pedig a Privacy Protection fertőzte meg.