Ewolucja zagrożeń IT w pierwszym kwartale 2013 r.: Nowe incydenty i starzy podejrzani

24 maja, 2013

Na samym początku roku Kaspersky Lab opublikował główny raportzawierający wyniki badania trwającego od pięciu lat programu globalnych operacji cyberszpiegowskich. Kampania ta otrzymała kryptonim Czerwony Październik. Celem ataków były różne agencje rządowe, organizacje dyplomatyczne oraz firmy na świecie. Czerwony Październik potrafił kraść dane nie tylko ze stacji roboczych, ale również z urządzeń mobilnych, gromadzić dane ze sprzętu sieciowego, zbierać pliki z urządzeń USB, kraść bazy e-mail z lokalnych archiwów Outlooka lub ze zdalnych serwerów POP/IMAP oraz wypakowywać pliki z lokalnych serwerów FTP w internecie.

W lutym pojawił się nowy szkodliwy program, nazwany MiniDuke. Przeszukiwał on systemy, wykorzystując lukę 0-day w programie Adobe Reader (CVE-2013-0640). Eksperci z Kaspersky Lab wraz z węgierską firmą CrySys Lab prześledzili wydarzenia związane z tym szkodliwym oprogramowaniem i okazało się, że ofiarami MiniDuke’a były agencje rządowe na Ukrainie, w Belgii, Portugali, Rumunii, Czechach oraz Irlandii, organizacje badawcze na Węgrzech, a także instytut badawczy, dwa naukowe centra badawcze oraz ośrodki medyczne w Stanach Zjednoczonych. W sumie zarejestrowano 59 ofiar w 23 krajach.

W lutym pojawił się także obszerny raport PDF firmy Mandiant na temat serii ataków dokonanych przez grupę chińskich hakerów działających pod nazwą APT1. Według raportu, grupa APT1 może być oddziałem chińskiej armii. Pekin nie po raz pierwszy został oskarżony o współudział w cyberatakach na agencje rządowe i organizacje z innych krajów. Nie jest jednak zaskoczeniem, że chiński rząd odrzuca zarzuty opublikowane w raporcie Mandiant.

Pod koniec lutego pojawiły się informacje o zidentyfikowaniu starszej wersji Stuxneta, nazwanej Stuxnet 0.5. Ta wcześniejsza wersja robaka, który zyskał międzynarodową „sławę”, była aktywna między 2007 a 2009 rokiem. Eksperci wielokrotnie podkreślali, że istniały (lub wciąż istnieją) wcześniejsze wersje tego szkodliwego programu, a Stuxneta 0.5 można uznać za pierwszy niepodważalny dowód potwierdzający tę teorię.

„Pierwszy kwartał 2013 roku przyniósł ogromną liczbę poważnych incydentów związanych z cyberszpiegostwem i cyberbronią. Takie przypadki, które wymagają miesięcy nieustannego śledztwa, zdarzają się w branży antywirusowej dość rzadko. Podobnie jest z wydarzeniami, które nie tracą na powadze nawet trzy lata później – jak na przykład wykrycie robaka Stuxnet” – powiedział Denis Maslennikow, starszy analityk szkodliwego oprogramowania, Kaspersky Lab. „Mimo że robak ten był analizowany przez wielu dostawców rozwiązań antywirusowych, wciąż istnieje wiele jego modułów, którym przyjrzeliśmy się zbyt pobieżnie albo których nie przeanalizowaliśmy jeszcze w ogóle. Przypadek Stuxneta w wersji 0.5 dostarczył nam nowe informacje o tym szkodliwym programie, ale prawdopodobnie przyszłość przyniesie ich jeszcze więcej. To samo można powiedzieć o innych cyberbroniach wykrytych po Stuxnecie, jak również o szkodliwych programach wykorzystywanych w cyberszpiegostwie — wciąż jeszcze nie wiemy zbyt wielu rzeczy”.

Pierwszy kwartał 2013 roku to także więcej ataków ukierunkowanych przeciwko tybetańskim i ujgurskim aktywistom. Wygląda również na to, że osoby przypuszczające ataki używają wszystkiego, co tylko mogą, aby dopiąć swego. Ich celem byli głównie użytkownicy systemów OS X, Windows oraz Android.

W 2011 roku byliśmy świadkami masowych ataków hakerskich na różne firmy i kilku poważnych wycieków danych. Może się wydawać, że te ataki spełzły na niczym, ale nic bardziej mylnego. Cyberprzestępcy jak zawsze są zainteresowani hakowaniem dużych firm i uzyskaniem dostępu do poufnych danych, łącznie z informacjami użytkowników. W pierwszym kwartale 2013 wśród ofiar znalazły się takie firmy jak Apple, Facebook, Twitter czy Evernote.

W pierwszym kwartale 2013 roku pojawiły się także liczne incydenty w kwestii zagrożeń mobilnych. Jeśli chodzi o wirusy mobilne, styczeń był stosunkowo spokojny. Dla odmiany w kolejnych dwóch miesiącach firma Kaspersky Lab wykryła ponad 20 000 nowych modyfikacji mobilnego szkodliwego oprogramowania, co stanowi mniej więcej połowę wszystkich próbek malware wykrytych w całym 2012 roku.

Istotne zmiany można zauważyć w rozkładzie geograficznym szkodliwych usług hostingowych – Rosja spadła z pierwszego miejsca (19%, -6 proc.), zamieniając się ze Stanami Zjednoczonymi (25%, +3 proc.). Sytuacja innych krajów prawie nie zmieniła się od czwartego kwartału 2012 roku.

W rankingu najczęściej występujących luk nie odnotowano znaczących zmian. Na szczycie wciąż znajduje się Java – luki w tym oprogramowaniu zawierało ponad 45% komputerów. Eksperci z Kaspersky Lab odnotowali w pierwszym kwartale 2013 r. średnio osiem różnych prób ataków na każdym komputerze.

Pełny raport poświęcony ewolucji zagrożeń w pierwszym kwartale 2013 r. jest dostępny w serwisie SecureList.pl prowadzonym przez Kaspersky Lab:http://securelist.pl/analysis/7219,ewolucja_zagrozen_it_i_kwartal_2013.html.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]