Projekt Aurora i tajemniczy Myrtus - tajemnice wirusów

Firma F-Secure zaprezentowała raport opisujący najpopularniejsze oraz najciekawsze zagrożenia, którym musieli stawić czoła użytkownicy w okresie od maja do października 2010 roku. Z raportu dowiemy się co ma wspólnego McDonald’s ze spamem oraz jak zaatakowano urządzenia pracujące w elektrownii. Obecnie, atakujący fabryki robak Stuxnet jest ciekawostką, ale zagrożenia, które w nim potencjalnie drzemią są przerażające. Z raportu dowiemy się również czym był projekt Aurora oraz co oznacza, wykryty w jednym z wirusów zwrot Myrtus

W okresie od maja do września 201. r. spam w sieciach społecznościowych osiągnął rekordowy poziom. Złośliwe oprogramowanie i spam pojawiają się coraz częściej w serwisach społecznościowych, takich jak Twitter i Facebook. Dotychczas większość ataków na Twittera dokonywano w celach testowych lub dla zabawy, żeby zobaczyć, jak szybko złośliwy kod będzie się powielać. Kiedy jednak hobbiści tworzą robaki operujące w sieciach społecznościowych, nastawieni na zysk przestępcy często próbują zaadaptować je do celów zarobkowych.

„Oferta, której po prostu nie możesz odrzucić!”, „Nie płać za nowego iPhone’a 4. zdobądź go za darmo!”, „Musicie to obejrzeć!” - spam w Facebooku wykorzystuje wiele kreatywnych haseł.

W sierpniu pojawił się popularny spam dotyczący niefortunnego zestawu Happy Meal. Używał on łączy bit.ly do rozprzestrzeniania się w Facebooku. Łącza prowadziły do witryny http://happytruthblog.co.cc, a w ciągu kilku pierwszych godzin kliknięto je ponad 3. 000 razy. Współczynniki konwersji dla „kliknięć” i „lubienia” wynosiły około 40 i 48 procent. Z punktu widzenia spamerów są to doskonałe wyniki, znacznie lepsze niż w przypadku poczty e-mail. Jednakże 32 000 kliknięć to dużo mniej niż w przypadku podobnego spamu z czerwca, kiedy kilka wirusowych łączy przełożyło się na setki tysięcy kliknięć. Zyski maleją w miarę, jak użytkownicy uodparniają się i rozpoznają rzeczywistą naturę spamu na Facebooku. Z tego powodu spamerzy udoskonalają techniki działania. Wersja spamu Happy Meal obiecywała, że „nie trzeba wypełniać żadnych ankiet”. Było to jednak typowe spamerskie kłamstwo, a strona zawierała „test” rzekomo wykrywający boty, który był po prostu ankietą pod inną nazwą.

Facebook w rzeczywistości ułatwił zadanie spamerom i oszustom, nie wdrażając ograniczeń stron docelowych, które zapowiedział w maju 201. r. Stworzenie strony na Facebooku jest proste, a podstawowym problemem jest „zakładka docelowa”, czyli pierwsza zakładka pokazywana komuś, kto jeszcze nie „polubił” danego profilu. W maju Facebook ogłosił, że strony docelowe będą ograniczone do „stron uwierzytelnionych” albo takich, które mają więcej niż 10 000 fanów. Dzień później Facebook wycofał się z tych ograniczeń ze względu na skargi małych firm. Wymóg 10 000 fanów uznano za zbyt trudny do spełnienia. Głównym przeznaczeniem zakładek docelowych jest budowanie bazy fanów strony, więc może rzeczywiście wymagano zbyt wiele. Jednak całkowita rezygnacja z zabezpieczeń otworzyła szeroko drzwi przed oszustami i spamerami. Z pewnością możliwe jest wypracowanie jakiegoś kompromisu.

Na początku września pomysłowy spamer odkrył lukę w zabezpieczeniach Facebooka, która umożliwia automatyczne powielanie łączy. Do tego czasu rozprzestrzenianie typowego spamu na Facebooku wymagało jakichś technik inżynierii społecznej. Obecnie kliknięcie któregokolwiek z łączy do aplikacji spamera wystarczy, aby „udostępnić”. tę aplikację na tablicy użytkownika.

Cyberprzestępcy szybko wykorzystali też nowo odkryte luki XSS w Twitterze, aby przyciągnąć użytkowników do tworzonych przez siebie ankiet i witryn. Większość robaków używa techniki onmouseover, co oznacza, że wystarczy przesunąć wskaźnik myszy nad złośliwy tweet, aby przesłać wiadomość do obserwatorów swojego profilu. Choć luka XSS została załatana, prawdopodobnie nie jest to koniec problemów. Niewykluczone, że pojawi się więcej złośliwych ataków, być może łączących tę technikę z wykorzystywaniem błędów w przeglądarkach.

Mikko Hypponen, szef Zespołu Badawczego F-Secure, sugeruje, aby Twitter wyznaczył nagrodę za znajdowanie nowych, poważnych luk w zabezpieczeniach swojego systemu i w ten sposób powstrzymał potencjalnych hakerów przed próbami włamań. Robaki w Twitterze różnią się od znacznie groźniejszych trojanów, które atakują system operacyjny Windows. Większość z nich powstaje w celach testowych lub dla zabawy. Bardzo nieliczne próbują wykradać informacje lub służą do zarabiania pieniędzy. Są tworzone przez takich samych ciekawskich „majsterkowiczów”, którzy 1. lat temu pisaliby robaki internetowe, żeby sprawdzić, jak szybko się rozprzestrzenią.

Sieci społecznościowe stają się coraz bardziej atrakcyjne dla twórców złośliwego oprogramowania, ponieważ pozwalają szybko rozprzestrzeniać informacje, ale oznacza to zarazem, że użytkownicy Facebooka i Twittera mogą powstrzymywać działanie szkodliwych programów szybciej niż dotychczas. Sean Sullivan, doradca ds. bezpieczeństwa w F-Secure, mówi: „Sieci społecznościowe mają wbudowane przeciwciała - swoich użytkowników. Podczas gdy złośliwe ataki z minionych lat rozwijały się tygodniami, a nawet miesiącami, najnowsze ataki na Twitter osiągały szczyt i zanikały w ciągu zaledwie dwóch i pół godziny”.

Robak Windows o nazwie Stuxnet to jeden z najbardziej interesujących przypadków złośliwego oprogramowania w ostatnich latach. Stuxnet, odkryty w czerwcu 201. r., jest pierwszym robakiem atakującym konkretne systemy przemysłowe. Jego stworzenie wymagało znacznych nakładów, przez co spekuluje się, że stoi za nim jakiś rząd lub rządy. Stuxnet zainfekował setki tysięcy komputerów na całym świecie, ale duża liczba infekcji w Iranie sugeruje, że motywem twórców robaka było zaatakowanie irańskiego programu nuklearnego. Stuxnet rozprzestrzenia się przez USB, a kiedy znajdzie się w sieci organizacji, może również przenikać do tych zasobów, które mają słabe hasła. Luka LNK używana przez Stuxnet pozwala zainfekować komputer nawet wtedy, gdy wyłączone są funkcje autostartu i autoodtwarzania. Bieżące wersje mają „datę śmierci” ustawioną na 24 czerwca, co oznacza, że tego dnia robak przestanie się rozmnażać. Po zainfekowaniu systemu Stuxnet ukrywa się za pomocą rootkita i sprawdza, czy komputer jest podłączony do systemu
fabrycznego Siemens Simatic (Step7). Stuxnet może wprowadzać skomplikowane modyfikacje w systemie, na przykład regulować pracę silników, przenośników taśmowych i pomp. Może nawet zatrzymać fabrykę, a przy odpowiednich modyfikacjach wywołać eksplozję.

Dotychczas ofiarą ataku padły tylko nieliczne fabryki, a większość zakażonych maszyn to zwykłe komputery domowe i biurowe, które nie są podłączone do systemów SCADA. Stuxnet nie powoduje żadnych szkód, jeśli nie znajdzie konkretnego systemu przemysłowego. Jak napastnikom udało się wprowadzić tak groźną aplikację do zabezpieczonego obiektu? Mogli, na przykład, włamać się do domu pracownika, znaleźć jego USB i zainfekować je. Kiedy zabrał on pendrive do pracy, podłączył do komputera, a infekcja stopniowo rozprzestrzeniła się po firmie, wreszcie docierając do celu.

Stuxnet to robak bardzo złożony i wyjątkowo duży (1,5 MB). Wykorzystuje wiele luk w zabezpieczeniach i umieszcza w systemie własny sterownik podpisany certyfikatem skradzionym z Realtek Semiconductor Corp. Skradziony certyfikat został unieważniony przez Verisign 1. lipca 2010 r. 17 lipca znaleziono zmodyfikowaną wersję, podpisaną certyfikatem skradzionym z JMicron Technology Corporation. W kodzie robaka Stuxnet znajduje się słowo „Myrtus”, które oznacza krzew mirtu. Może również oznaczać „My RTUs”, gdzie RTU byłoby skrótem od „Remote Terminal Units” - chodzi o zdalne terminale używane w systemach przemysłowych. Odwołanie to nie jest „ukryte” w kodzie, lecz stanowi artefakt pozostały po kompilacji. Zasadniczo mówi nam, gdzie autor przechowywał kod źródłowy w swoim systemie. Dokładna ścieżka to: \myrtus\src\objfrew2kx86\i386\guava.pdb. Autorzy prawdopodobnie nie chcieli, abyśmy wiedzieli, że nazwali swój projekt „Myrtus”, ale dzięki temu artefaktowi nazwa wyszła na jaw. Podobne artefakty pojawiają się w
innych złośliwych programach. „Operacja Aurora” wymierzona w Google otrzymała taką nazwę po tym, jak w jednym z plików binarnych znaleziono ścieżkę \Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb. Stuxnet rozpoznaje maszynę, którą wcześniej zainfekował, ponieważ ustawia klucz rejestru o wartości „19790509” jako znacznik infekcji. W rzeczywistości jest to data: 9 maja 1979 r. Mogą to być urodziny autora albo dzień, w którym w Iranie stracono żydowsko-izraelskiego biznesmena Habiba Elghaniana. Był on oskarżony o szpiegostwo na rzecz Izraela.

ZeuS wciąż pozostaje jednym ze złośliwych programów, które najczęściej dają o sobie znać. We wrześniu mieliśmy do czynienia z interesującym przypadkiem ataku na Windows i telefony komórkowe z wariantem ZeuSa, który wykrada numery mTAN przy użyciu komponentu Symbiana (.sis) lub Blackberry (.jad). mTAN to komórkowy numer uwierzytelniania transakcji, wysyłany SMS-em i używany przez niektóre banki jako rodzaj jednorazowego hasła do autoryzowania finansowych transakcji online. Wiadomość SMS może również zawierać dane dotyczące transakcji.

Bankowość internetowa w systemie Windows jest celem nieustannych ataków ze strony trojanów, które używają takich metod, jak phishing, pharming, cross-site scripting (XSS) i kradzież haseł. Dodanie „zewnętrznego”. urządzenia do tego procesu to użyteczny środek bezpieczeństwa, który wydawał się stwarzać problemy techniczne, zniechęcające potencjalnych napastników. Jednakże bezpieczeństwo online to nieustanna gra w kotka i myszkę, a Zespół Badawczy F-Secure wielokrotnie przewidywał, że pojawienie się jakiegoś trojana bankowego atakującego telefony komórkowe jest tylko kwestią czasu.

We wrześniu 201. r. dochodzenie policyjne w sprawie kradzieży przynajmniej 6 mln funtów z internetowych kont bankowych doprowadziło do ponad 100 aresztowań i postawienia zarzutów dziesięciu osobom, które oskarżono o konspirację w celu defraudacji i prania pieniędzy. Według raportów BBC i Daily Mail, oskarżeni użyli trojana ZeuS, aby zdobyć dane logowania do przynajmniej 600 kont w HSBC, Royal Bank of Scotland, Barclays Bank i Lloyds TSB. Infekując słabo chronione komputery, gang zdołał wykraść dane uwierzytelniające i zmanipulować sesje przeglądarek swoich ofiar przez utworzenie dodatkowej strony, która prosiła o podanie hasła, kodu PIN i numeru karty. Po uzyskaniu dostępu do kont ofiar gang przelewał po kilka tysięcy funtów do specjalnie zwerbowanych „pośredników”, którzy w zamian za zapłatę pozwalali wykorzystywać swoje konta do prania pieniędzy. Oskarżeni pochodzą z Ukrainy, Estonii i Łotwy. Według zarzutów gang atakował brytyjskie banki od 13 października 2009 r. do 28 września 2010 r.

Najważniejszą wiadomością z frontu bezpieczeństwa mobilnego była witryna jalibreakme.com, która pozwala zdjąć blokadę z iPhone’a, iPada lub iPoda Touch po prostu przez odwiedzenie strony przy użyciu danego urządzenia. Witryna jailbreakme.com wykorzystuje luki w zabezpieczeniach. „Każdy mógł wykorzystać tę samą lukę w iPhone’ach i iPadach w dowolnym celu, co doprowadziłoby do pierwszej globalnej epidemii robaka mobilnego. Na szczęście tak się nie stało, a firma Apple wypuściła nową wersję iOS, aby załatać tę lukę na większości platform”, mówi Mikko Hypponen z Laboratorium F-Secure. Społeczność jailbreakerów również opublikowała własną poprawkę, aby usunąć lukę z systemów operacyjnych niewspieranych przez Apple.

Niektórzy użytkownicy smartfonów z systemem Windows Mobile padli ofiarą trojana 3. Anti-terrorist Action, który wykonuje drogie połączenia z międzynarodowymi numerami klasy premium, m.in. z Somalią i Antarktydą. Rosyjski haker usunął zabezpieczenie przed kopiowaniem z gry 3D Anti-terrorist Action i opublikował złośliwą wersję w witrynach, w których użytkownicy szukają darmowych gier. „Jest to sposób na kradzież pieniędzy bezpośrednio z zainfekowanych smartfonów, a ofiary zdają sobie sprawę, co się stało, dopiero wtedy, kiedy otrzymają następny rachunek telefoniczny”, mówi Mikko Hypponen.

Inną złośliwą aplikację znaleziono w serwisie Android Market. Gra Tap Snake okazała się klientem komercyjnej aplikacji szpiegowskiej o nazwie GPS SPY. Gra Tap Snake wygląda jak przeciętny klon gry „Snake”, ale ma dwie ukryte funkcje. Po pierwsze, nie można zakończyć jej działania. Kiedy zostanie zainstalowana, nieustannie działa w tle i uruchamia się automatycznie podczas rozruchu telefonu. Po drugie, co 1. minut potajemnie przesyła do serwera położenie GPS telefonu. GPS SPY to proste narzędzie do szpiegowania użytkowników telefonów komórkowych, które kosztuje tylko 4,99 dol. Zakupiona aplikacja radzi pobrać i zainstalować grę „Tap Snake” w telefonie, który ma być szpiegowany. Podczas instalacji grę rejestruje się za pomocą kodu umożliwiającego szpiegowanie. Oznacza to, że szpieg musi mieć fizyczny dostęp do telefonu, który chce śledzić. Pod wieloma względami duet GPS SPY / Tap Snake jest młodszym bratem mobilnych aplikacji szpiegowskich, takich jak FlexiSPY. Aplikacja GPS została napisana przez rosyjskiego
programistę mieszkającego w Teksasie, Maksa Lifshina („Maxicom”). Programy GPS SPY i Tap Snake nie są już dostępne w serwisie Android Market.

Firma F-Secure spodziewa się kolejnych ataków wymierzonych w smartfony. Mikko Hypponen z Laboratorium F-Secure mówi: „Od 200. roku pojawiło się tylko 517 grup mobilnych wirusów, robaków i trojanów, ale ponieważ niektórzy twórcy złośliwego oprogramowania mobilnego dorobili się pieniędzy, oczekujemy znacznie większej aktywności. Większość złośliwych aplikacji mobilnych, które zaobserwowaliśmy w 2010 roku, nie miała charakteru hobbistycznego, ale była nastawiona na zysk”. Dotychczasowe metody zarabiania na złośliwym oprogramowaniu używane przez przestępców to wiadomości SMS i połączenia głosowe klasy premium, oszustwa subskrypcyjne, ataki na bankowość internetową, wymuszanie okupu i fałszywe aplikacje.

Wspomnienia o osobach, których już z nami nie ma. Zapal Wirtualny Znicz.