Eksplozja zaawansowanych zagrożeń

Firma Symantec opublikowała wyniki XVI edycji "Raportu o zagrożeniach bezpieczeństwa w Internecie" ("Internet Security Threat Report"). Raport ujawnia ogromną skalę niebezpieczeństwa sieciowego, w tym 286 milionów nowych zagrożeń w zeszłym roku oraz kilka trendów, które zdominowały Internet

Raport wskazuje na nasilenie zarówno skali, jak i wyrafinowania działań zagrażających bezpieczeństwu danych. Zwiększyło się znaczenie serwisów społecznościowych jako platform wykorzystywanych do rozprzestrzeniania ataków. Wyraźnie wzrosło też zainteresowanie lukami bezpieczeństwa w technologii Java, przez które następowały włamania do tradycyjnych systemów komputerowych. Wreszcie, przestępcy coraz bardziej skupiali swoją uwagę na urządzeniach mobilnych.

- Rozwijający się Internet jest polem do popisu dla kreatywności cyberprzestępców. Biorą oni na celownik konkretne osoby i firmy, mając coraz więcej możliwości dotarcia do nich - komentuje wyniki raportu Jolanta Malak, Dyrektor Generalny w firmie Symantec Polska. - Liczone w milionach unikalne zagrożenia tworzone są pod konkretne kanały dotarcia do użytkownika lub przedsiębiorstwa, np. poprzez sieci społecznościowe lub systemy mobilne - dodaje Jolanta Malak.

Wyspecjalizowane ataki, takie jak Hydraq czy Stuxnet, stanowiły coraz większe zagrożenie dla przedsiębiorstw w 201. r. W celu zwiększenia prawdopodobieństwa udanego, niezauważonego śledzenia użytkownika, przestępcy coraz częściej wykorzystują tzw. luki dnia zerowego. Sam tylko Stuxnet wykorzystał cztery różne luki tego rodzaju, aby zaatakować wybrane cele.

Przestępcy w 201. r. wzięli na celownik różnorodną grupę międzynarodowych korporacji notowanych na giełdach, agencji rządowych, a także znaczącą liczbę mniejszych przedsiębiorstw. W wielu przypadkach "rozpracowywano" najważniejsze ofiary w każdej z korporacji, a następnie posługiwano się indywidualnie dopasowanymi technikami inżynierii społecznej, aby zyskać dostęp do sieci ofiar (np. poprzez tworzenie fałszywych domen mailowych, do złudzenia przypominających firmowe). Ze względu na ukierunkowany charakter tych działań, wiele ataków zakończyło się powodzeniem, nawet pomimo faktu, że poszkodowane organizacje stosowały podstawowe zabezpieczenia.

O ile najbardziej spektakularne, wyspecjalizowane ataki w 201. r. miały na celu kradzież własności intelektualnej lub spowodowanie fizycznych strat, to motywem wielu tego typu działań jest przede wszystkim przechwycenie prywatnych danych konkretnych osób. W 2010 r. wycieki danych będące efektem działań hakerskich spowodowały ujawnienie średnio 260 tys. tożsamości w przypadku jednego ataku, czyli niemal cztery razy więcej niż w przypadku innego rodzaju wycieku.

Popularność sieci społecznościowych nieustannie rośnie. Nie dziwi zatem fakt, że platformy te przyciągnęły znaczne ilości niebezpiecznego oprogramowania. Jedna z podstawowych technik ataków w takich serwisach wiąże się z wykorzystaniem skróconych adresów URL. W typowych, uczciwych zastosowaniach, takie adresy służą wygodnemu udostępnianiu odnośników w wiadomościach email lub na stronach internetowych, zastępując długie i skomplikowane adresy oryginalnej strony. Przestępcy w zeszłym roku opublikowali miliony skróconych odnośników w sieciach społecznościowych z zamiarem podstępnego skierowania ofiar na sfałszowane strony wyłudzające dane (ataki typu "phishing") i dystrybuujące niebezpieczne oprogramowanie. Odsetek udanych infekcji niesłychanie wzrósł.

Raport pokazuje, że przestępcy najczęściej korzystali z kanałów informacyjnych, jakie udostępniają popularne sieci społecznościowe, aby zapewnić swoim atakom masową dystrybucję. W typowym scenariuszu napastnik loguje się na przechwycone konto w serwisie i publikuje skrócony odnośnik do niebezpiecznej strony internetowej w polu statusu ofiary. Sieć społecznościowa automatycznie dystrybuuje odnośnik do kanałów informacyjnych przyjaciół ofiary, przez co w ciągu kilku minut dociera potencjalnie do setek lub tysięcy innych osób. W 201. r. aż 65 procent niebezpiecznych odnośników wychwyconych przez firmę Symantec w sieciach społecznościowych wykorzystywało skrócone adresy URL. Z tej liczby 73 procent zostało klikniętych 11 razy lub więcej, zaś 33 procent zanotowało od 11 do 50 kliknięć.

Zestawy narzędzi do przeprowadzania ataków, czyli kompleksowe programy pozwalające zarówno nowicjuszom, jak i doświadczonym hakerom przeprowadzać szeroko zakrojone ataki na komputery podłączone do sieci, utrzymały w 201. r. wysoką popularność. Zestawy te coraz częściej wykorzystują luki w Javie, które stanowiły 17 procent wszystkich luk dotykających wtyczki do przeglądarek w 2010 r. Java, jako popularna technologia działająca w wielu przeglądarkach i na wielu platformach, jest atrakcyjnym celem dla przestępców.

Zestaw Phoenix odpowiadał za największą liczbę ataków internetowych w 201. r. Zarówno ten, jak i wiele innych zestawów, wykorzystuje luki w zabezpieczeniach Javy. W okresie objętym raportem próby złamania zabezpieczeń Javy znalazły się na 6. miejscu w rankingu ataków sieciowych. Dzienna, zmierzona liczba ataków internetowych zwiększyła się w 2010 r. o 93 procent w porównaniu do 2009 r. Zestawy do przeprowadzania ataków są prawdopodobnie odpowiedzialne za znaczną część tego wzrostu, ponieważ dwie trzecie wszystkich zagrożeń sieciowych obserwowanych przez firmę Symantec ma z nimi bezpośredni związek.

Główne platformy mobilne stały się na tyle powszechne, że zasłużyły na uwagę przestępców. W związku z tym możemy się spodziewać nasilenia ataków na systemy mobilne. Większość przestępczych działań ukierunkowanych na urządzenia mobilne w 201. r. wykorzystywało konie trojańskie udające prawdziwe aplikacje. O ile czasami napastnicy tworzyli takie aplikacje od podstaw, to w wielu wypadkach wprowadzali złośliwy kod do istniejących, użytecznych aplikacji, w ten sposób infekując urządzenia wielu użytkowników. Zmodyfikowane aplikacje były dystrybuowane przez publiczne sklepy z oprogramowaniem. Podejście takie wykorzystali, np. autorzy ujawnionego niedawno trojana Pjapps.

Wprawdzie nowa architektura zabezpieczeń stosowana we współczesnych urządzeniach mobilnych jest co najmniej tak skuteczna, jak poprzedzające ją rozwiązania na komputerach stacjonarnych i serwerach, to przestępcy często mogą obejść zabezpieczenia, atakując luki będące nieodłączną cechą platform mobilnych. Niestety, tego typu niedociągnięcia są dość powszechne. Firma Symantec udokumentowała w 201. r. 163 luki, które przestępcy mogli wykorzystać, aby zyskać częściową lub całkowitą kontrolę nad urządzeniami z popularnymi platformami mobilnymi. Tylko w pierwszych kilku miesiącach 2011 r. luki te posłużyły do zainfekowania setek tysięcy urządzeń.

•. 286 milionów nowych, unikalnych zagrożeń - wielopostaciowość ataków i nowe mechanizmy dostarczania, takie jak zestawy do ataków sieciowych, przyczyniają się do stałego wzrostu liczby unikalnych próbek złośliwego oprogramowania. Firma Symantec w 2010 r. napotkała ponad 286 milionów tego typu przykładów.

•. Wzrost liczby ataków internetowych o 93 procent - gotowe zestawy do ataków internetowych przyczyniły się do nasilenia tego zjawiska o 93 procent w 2010 r. Wpływ na taki wzrost miało także wykorzystanie skróconych adresów URL.

•. 260 tysięcy narażonych tożsamości w przeliczeniu na jedno włamanie - to średnia liczba ujawnionych tożsamości w incydentach związanych z naruszeniem bezpieczeństwa danych w efekcie działań cyberprzestępczych w 2010 r.

•. 14 nowych luk dnia zerowego - luki dnia zerowego odegrały bardzo ważna rolę w ukierunkowanych atakach, takich jak Hydraq i Stuxnet. Sam Stuxnet wykorzystał cztery różne luki tego rodzaju.

•. 6253 nowych luk - Symantec udokumentował w 2010 r. więcej luk niż w jakimkolwiek wcześniejszym okresie sprawozdawczym.

•. Wzrost liczby luk mobilnych o 42 procent - liczba zgłoszonych luk w mobilnych systemach operacyjnych zwiększyła się ze 115 w 2009 r. do 163 w 2010 r. Jest to sygnał, że cyberprzestępcy zwracają swoją uwagę w stronę rozwiązań mobilnych.

•. Jedna sieć botnet z ponad milionem zarażonych komputerów na całym świecie - Rustock, największa sieć rozsyłająca spam zaobserwowana w 2010 r., składała się w pewnym momencie z ponad miliona zainfekowanych komputerów będących pod jej kontrolą. Dalsze miejsca zajmowały inne sieci, takie jak Grum i Cutwail, w skład których wchodziły setki tysięcy komputerów.

•. 74 procent spamu dotyczy produktów farmaceutycznych - niemal trzy czwarte całego spamu w 2010 r. miało związek z produktami farmaceutycznymi, z czego znaczna część odsyłała do witryn farmaceutycznych i powiązanych marek.

•. 15 USD za 10 tysięcy botów - firma Symantec odkryła w 2010 r. reklamę zamieszczoną na czarnorynkowym forum, w której oferowano sieć 10 tys. botów za 15 USD. Boty najczęściej służą do rozsyłania spamu i niebezpiecznego oprogramowania, ale coraz częściej także do ataków typu DDoS (ang. Denial of Service).

•. 0,07 USD do 100 USD za kartę kredytową - ceny za dane kart kredytowych, udostępniane na czarnorynkowych forach, charakteryzowały się dużą zmiennością. Czynniki wpływające na ceny to rzadkość występowania danej karty oraz zniżki oferowane przy zakupach hurtowych.

Raport "Zagrożenia bezpieczeństwa w Internecie" bazuje na danych zebranych przez miliony internetowych czujników, a także na własnych badaniach oraz aktywnym monitoringu komunikacji między hakerami. Daje on globalny obraz bezpieczeństwa w Internecie. Dane do XVI edycji badania zbierane były od stycznia 2010 r. do grudnia 2010 r.