Najważniejsze zagrożenia sieciowe I połowy 2008 r.

NAJGROŹNIEJSZE SZKODNIKI

Do najgroźniejszych zaobserwowanych zjawisk należy Mebroot, który infekuje sektor startowy twardego dysku komputera (Master Boot Record). Dzięki temu ładuje się wcześniej niż jakiekolwiek inne oprogramowanie, dlatego antywirusy mają problemy z jego wykryciem. System zainfekowany Mebrootem narażony jest na cały wachlarz dodatkowych zagrożeń - rootkit może pobrać np. destrukcyjnego wirusa, konia trojańskiego czy tzw. botworma, zamieniającego peceta w element sieci komputerów-zombie. F-Secure ocenia, że twórcy rootkita dysponowali znacznymi zasobami i wiedzą, Mebroot jest prawdopodobnie najlepiej maskującym się wirusem, jaki dotychczas napisano.

Mało zaszczytne miano malware'a 2.0 przypadło robakowi Storm. Wykorzystuje on technologie peer-to-peer do tworzenia zdecentralizowanych sieci botów, które aktywnie bronią się przed wykryciem. F-Secure przypisuje robakowi ważną rolę w ewolucji internetowych zagrożeń w kierunku obecnego trendu: kodu instalowanego bez wiedzy użytkowników (drive-by downloads). W kwietniu Microsoft ogłosił, że jego narzędzie do usuwania szkodliwego oprogramowania - Malicious Software Removal Tool bardzo efektywnie radzi sobie z usuwaniem botów. Mimo to w ostatnim czasie wzrosła liczba wiadomości e-mail nakłaniających Internautów do odwiedzenia witryn zainfekowanych przez Storm.

"WSTRZYKIWANIE" CORAZ POPULARNIEJSZE

Zwiększyła się też liczba ataków typu SQL Injection. Podatne są na nie serwisy internetowe bazujące na skryptach PHP, ASP, JSP itp. Atak polega na wykorzystaniu luk w zabezpieczeniach (związanych z nieodpowiednim filtrowaniem lub niedostatecznym typowaniem) i późniejszym wykonaniu ciągu instrukcji przesyłanych w postaci zapytań SQL do bazy danych. F-Secure ocenia, że problem dotyczy już dziesiątek tysięcy witryn. Działa najprawdopodobniej kilka grup przestępczych używających różnych zautomatyzowanych narzędzi do wstrzykiwania szkodliwego kodu.

Nie tylko F-Secure dostrzega to zagrożenie. Microsoft wydał w tym tygodniu zalecenie dotyczące ochrony stron internetowych przed opisanymi wyżej atakami. Wśród polecanych programów znalazły się: HP Scrawlr, który służy do wyłapywania błędów, UrlScan 3.0 Beta blokujący pewne niebezpieczne zapytania HTTP oraz Microsoft Source Code Analyzer, wykorzystywany do analizy kodu ASP.

ATAKI CORAZ LEPIEJ SPERSONALIZOWANE

Na uwagę zasługuje także wzrost liczby ukierunkowanych ataków na osoby indywidualne, firmy i organizacje. Napastnicy coraz częściej profilują metody w zależności od wybranej ofiary i wysyłają do niej wiadomości e-mail zawierające nazwisko, tytuł, odniesienia do zajmowanego stanowiska.

Treść wiadomości jest zwykle zgodna z korespondencją, którą odbiorca otrzymuje codziennie. Załącznik natomiast wygląda jak zwykły dokument Worda lub PDF (czy też inny często spotykany typ pliku), z tą jedną różnicą, że infekuje komputer ukrytym kodem. Napastnik otrzymuje przy tym dostęp do informacji przechowywanych na dysku bez żadnych zewnętrznych oznak infekcji.

WOJNA I POLITYKA PRETEKSTEM DO ATAKÓW

W pierwszej połowie 2008 roku nie obeszło się też bez ataków wykonywanych z pobudek politycznych i wojskowych. Niedawnym potyczkom między Tybetańczykami a chińską armią towarzyszyło szpiegostwo w Internecie. Obrońcy praw człowieka, organizacje protybetańskie i inne osoby popierające wolność Tybetu stały się celem zaawansowanej technicznie kampanii e-mail, w której próbowano zainfekować ich komputery. Treść wiadomości pochodziła z rzeczywistych oświadczeń i wypowiedzi grup protybetańskich. Niektóre miały zawierać zdjęcia Tybetańczyków zastrzelonych przez chińską armię. Użyto plików typu DOC, XLS, PPT, PDF i CHM. Wiadomości podrabiano tak, aby wyglądały na pochodzące od zaufanych osób lub organizacji, przez co wzrosło prawdopodobieństwo, że zostaną otwarte przez adresatów.

Alarmujące wydaje się spostrzeżenie F-Secure, że te same szkodliwe aplikacje były używane zarówno do ataków politycznych, jak i korporacyjnych. "Prowadzi to do wniosku, że ci sami ludzie, którzy mają polityczne motywy do atakowania grup protybetańskich, są również zaangażowani w ataki na firmy, zwłaszcza z branży obronnej" - czytamy w ostatnim raporcie dotyczącym bezpieczeństwa w Internecie. Pełny tekst (w wersji angielskojęzycznej) dostępny jest na stronie firmy.