Jak ewoluują botnety, dlaczego Mac staje się słabym ogniwem w korporacyjnych systemach bezpieczeństwa, najnowsze sztuczki stosowane przez autorów Duqu – raport Kaspersky Lab dotyczący ewolucji szkodliwego oprogramowania w I kw. 2012 r.

Po spokojnym 2011 r., w którym twórcy sieci zainfekowanych komputerów nie wymyślili niczego nowego, rok 2012 zaczął się od mocnego uderzenia. W pierwszym kwartale cyberprzestępcy po raz pierwszy wykorzystali „bezplikowy” szkodliwy program w celu zbudowania botnetu. W okresie tym została również wykryta sieć zainfekowanych maszyn o liczbie infekcji na poziomie zbliżonym do botnetów działających na systemach Windows oraz sieć zombie złożona z 700 000 komputerów Mac.

Wśród rosnącej liczby problemów związanych ze szkodliwym oprogramowaniem dla Maków znalazł się również wzrost liczby ataków ukierunkowanych na ten system. Użytkownicy muszą być czujni wobec ryzyka ataków cyberprzestępczych na organizacje, które wykorzystują zarówno platformy Windows, jak i Mac. W pierwszym kwartale 2012 r. jeden z incydentów dotyczył użycia przez cyberprzestępców dwóch trojanów – jednego dla Maka, drugiego dla Windowsa – w celu uzyskania dostępu do poufnych danych. W zależności od tego, który system operacyjny był wykorzystywany na atakowanej maszynie, ładowany był odpowiedni szkodliwy program. Oba trojany otrzymują polecenia z jednego centrum kontroli. Aby przeniknąć do systemu, cyberprzestępcy wykorzystali lukę w zabezpieczeniach, która występuje w środowisku Windows oraz Mac OS X; skuteczny atak umożliwił im kontrolę nad zainfekowaną maszyną.

„Sądząc po tempie tworzenia nowego szkodliwego oprogramowania wykorzystywanego w ukierunkowanych atakach na system Mac OS X, tworzenie tych programów nie jest zajęciem zbyt skomplikowanym dla cyberprzestępców. Jednocześnie, beztroskie podejście wielu użytkowników Maków w połączeniu z brakiem ochrony na ich komputerach sprawia, że platforma ta jest najsłabszym ogniwem w firmowych systemach bezpieczeństwa” – powiedział Jurij Namiestnikow, starszy analityk szkodliwego oprogramowania w Kaspersky Lab.

Po czterech miesiącach przerwy autorzy Duqu wrócili do pracy: w I kwartale 2012 r. został wykryty nowy sterownik Duqu o funkcjonalności podobnej do poprzednich wersji. Różnica w kodzie była nieznaczna – wszystkie zmiany miały na celu uniknięcie wykrycia. Główny moduł Duqu związany ze sterownikiem nie został jeszcze znaleziony.

„Nasze założenia okazały się słuszne: trudno oczekiwać, że projekt, w który zainwestowano dużo pieniędzy, tak jak w przypadku rozwoju Duqu i Stuxneta, zostanie nagle wstrzymany. Cyberprzestępcy postąpili tak jak zwykle – zmienili kod, aby szkodnik uniknął wykrycia i kontynuował ataki” – powiedział Aleksander Gostiew, główny ekspert ds. bezpieczeństwa z Kaspersky Lab.

W pierwszym kwartale 2012 r. obserwowano również zakończoną sukcesem współpracę firm antywirusowych oraz organów ścigania, dzięki której udało się przejąć kontrolę nad liczącym 110 000 komputerów botnetem Hlux (Kelihos), zamknąć centra kontroli kilku botnetów ZeuSa atakujących użytkowników bankowości online i aresztować kilku rosyjskich cyberprzestępców.

Pełna wersja raportu „Ewolucja zagrożeń IT: I kwartał 2012 r.” jest dostępna w Encyklopedii Wirusów ViruList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/analysis.html?newsid=709.

Informację oraz raport można wykorzystać dowolne z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.