Cyberkryminaliści mogą nauczyć się od rządów, jak tworzyć doskonałe malware
Raporty dotyczące malware FinFisher i Gauss przypisują im wykonanie na zamówienie agencji rządowych. Wśród ekspertów bezpieczeństwa rosną obawy, iż techniki zastosowane przez rządowych programistów malware przeciekły na rynek cyberprzestępczości. Ich zastosowanie np. w malware finansowym czy kradnącym tożsamość może bardzo ułatwić kradzieże i utrudnić ich wykrywanie - poinformowały media.
Na początku sierpnia analitycy z firm bezpieczeństwa zbadali dwie nowe odmiany złośliwego kodu, wykonane prawdopodobnie na zamówienie rządowe.
Pierwszą z nowych odmian złośliwego kodu jest FinFisher. Jak informuje Technology Review, w przypadku tego malware o pomyłce w atrybucji nie może być mowy –. zostało ono wytworzone przez brytyjską grupę programistyczną Gamma Group i sprzedawane jest agencjom rządowym W.Brytanii.
8 sierpnia br. analityk bezpieczeństwa Claudio Guarnieri pracujący dla firmy Rapid7. opublikował raport z analizy FinFisher. Ten złośliwy kod przechwytuje obraz z kamer internetowych, działa jak keylogger, zapisując wszystkie uderzenia w klawisze (a co za tym idzie – hasła i loginy na odwiedzanych stronach internetowych), przechwytuje połączenia Skype i może zdalnie pobierać dane z komputera co oznacza praktyczne przejęcie nad nim kontroli.
Gamma Group twierdzi iż sprzedaje go wyłącznie wybranym agencjom rządowym, ale o jego zastosowaniu niczego nie wiadomo –. tabloid The Sun doniósł jedynie iż używa go wywiad brytyjski Security Service (MI5).
Guarnieri zbadał system kontroli malware przy pomocy inżynierii odwrotnej. W trakcie tych badań zorientował się iż malware trafiło już do wielu krajów –. być może sprzedała je tam Gamma Group i używają go agencje rządowe albo, co bardziej prawdopodobne, stosują je firmy i osoby fizyczne. Analityk odkrył ślady systemu kontroli tego złośliwego kodu na serwerach w Australii, Czechach, Emiratach Arabskich, Katarze, Łotwie, Indonezji, Etiopii, Estonii, Mongolii i USA.
W raporcie z badań Guarnieri stwierdził iż jest „zażenowany”. w jak łatwy sposób można złamać zabezpieczenia systemu kierowania i kontroli FinFisher. Mimo iż nie znalazł jednoznacznych dowodów iż odkryte przez niego ślady działania malware nie zostały pozostawione przez agencje rządowe, jednak jest pewien, że wydostanie się na rynek tego szpiegowskiego malware jest tylko kwestią czasu „jest bowiem niemożliwe utrzymanie tego rodzaju narzędzi pod ścisłą kontrolą przez czas dłuższy”. Jak zauważył analityk, malware to może dostarczyć twórcom kryminalnego złośliwego kodu „wielu nowych pomysłów na mechanizmy wykradania danych i ukrycie skutków działania koni trojańskich”.
Z kolei 9 sierpnia br. analitycy z firmy bezpieczeństwa Kaspersky wydali wstępny raport dotyczący badania innego złośliwego kodu –. Gauss. Gauss to koń trojański, opracowany dla wykradania danych wrażliwych, ukierunkowany na przechwytywanie haseł i loginów wprowadzanych przez przeglądarki, danych dotyczących kont bankowych oraz sposobów logowania się do nich, ciasteczek, używanych np. przez instytucje finansowe oraz konfiguracji i danych zainfekowanych komputerów.
Gauss ma być bardzo podobny do Flame, znanego od kilku miesięcy, „wyjątkowo wyrafinowanego złośliwego kodu”, używanego do działań szpiegowskich i sabotażowych; według analityków prawdopodobnie zbudowanego na polecenie agencji rządowej. Jak twierdzi The New York Times Flame powstało w USA i Izraelu na zlecenie wywiadów tych państw i wobec istniejącego podobieństwa, o takie samo pochodzenie można podejrzewać Gauss.
Flame jest wielozadaniowym malware –. trojanem używanym do wykradania wszelkiego typu danych, posiadającym wbudowane mechanizmy destrukcyjne, co udowodnił przy kwietniowym ataku na serwery irańskich państwowych korporacji petrochemicznych.
W przypadku Gaussa widoczna jest, według analityków, „bardzo ciekawa specjalizacja”. – złośliwy kod jest przeznaczony do wykradania danych o kontach bankowych i oraz loginów i haseł do nich, przy czym działa on do tej pory głównie na Bliskim Wschodzie. Gauss zainfekował 2500 komputerów, z czego 1660 w Libanie, 483 w Izraelu i 261 w Palestynie. Większość z nich należała do banków i instytucji finansowych m.in. Bank of Beirut, Blom Bank, Byblos Bank i Credit Libanais.
Jest to 2,6 raza więcej infekcji niż w przypadku Flame. Gauss wykrada także loginy i hasła do kont Paypal i Citibanku Według analityków Kaspersky Lab, złośliwy kod zaczął infekować komputery już we wrześniu 201. roku i do chwili odkrycia pozostawał „uśpiony” do maja br., kiedy to pojawiły się pierwsze informacje o nim.
Eksperci innej firmy bezpieczeństwa –. RSA Security – uważają, że Gauss może być „tym, czego analitycy bezpieczeństwa obawiają się najbardziej” – malware stworzonym przez cyberkryminalistów, którzy zaadaptowali w tym celu rozwiązania z Flame i Stuxnetu. „Jest możliwe, że kod tych malware był dostępny dla podziemia kryminalnego i został powtórnie wykorzystany bądź zmodyfikowany przez cyberkryminalistów” – powiedział The New York Times Will Gragido z RSA .
Eksperci bezpieczeństwa uważają, że nawet jeśli i Gauss jest wytworem programistów rządowych –. a może świadczyć o tym zastosowanie we Flame i Gaussie mechanizmu zwanego „głowicą”, umożliwiającego instalację malware na komputerach nie mających dostępu do Internetu m.in. poprzez sieci wewnętrzne czy klucze USB – jest tylko kwestią czasu, kiedy rozwiązania z tych malware zostaną przejęte przez podziemie kryminalne i wykorzystane w nowej generacji złośliwego kodu. Analitycy uważają iż będzie on posiadał wysoki stopień inwazyjności, wyrafinowane mechanizmy wykradania danych i będzie bardzo trudny do wykrycia.