Az F-Secure szerint a sci-fik által megjósolt kiberhadviselés valósággá vált
A Flashback rácáfolt a Macintoshok immunitására: egy Java sebezhetőséget kihasználó trójai több mint 600.000 Mac-et fertőzött meg világszerte.
Az F-Secure Labs, a vállalat kutatási részlegének becslései szerint a Stuxnet kifejlesztése nem kevesebb, mint 10 ember egy éves munkaidejébe került. Ez azt jelenti, hogy a kiberhadviselés nagyon is életképes érdekérvényesítő stratégiának bizonyul a megszokott módszerek – például diplomáciai tárgyalások vagy bojkottok – helyett. Mindössze egy héttel a vírus felfedezése után az amerikai kormány elismerte, hogy a Stuxnetet közösen fejlesztette az izraeli hadsereggel. A Stuxnethez egyértelműen kapcsolódott a Flame, amelyre 2012 májusában bukkantak rá. A kártevőt az F-Secure szerint kémtámadásra használták nyugati hírszerző ügynökségek a Közel-Keleten. A Flame többek között billentyűzet-naplózó és képernyőmentő szolgáltatásokkal is segíti a kémkedést. A kártevő ezen felül rákeres minden Office dokumentumra, PDF, Autodesk és szövegfájlra a helyi és a hálózati meghajtókon, sőt képes arra is, hogy az így eltulajdonított szövegből kinyerje a támadók számára releváns tartalmat. Sőt, a Flame képes a felhasználó számára észrevétlenül bekapcsolni a fertőzött gép mikrofonját, hogy lehallgassa, audio fájlba mentse és továbbítsa a gép közelében zajló párbeszédeket. Ez a veszélyes trójai emellett detektál minden digitális kamerával készült fényképet, amelyekből GPS adatokat nyer ki és küld tovább, valamint képes megtalálni a fertőzött géppel párosított bluetooth eszközöket, és kinyerni azok névjegyzékét vagy egyéb hasznos információit.
Az F-Secure Labs, a vállalat kutatási részlegének becslései szerint a Stuxnet kifejlesztése nem kevesebb, mint 10 ember egy éves munkaidejébe került. Ez azt jelenti, hogy a kiberhadviselés nagyon is életképes érdekérvényesítő stratégiának bizonyul a megszokott módszerek – például diplomáciai tárgyalások vagy bojkottok – helyett. Mindössze egy héttel a vírus felfedezése után az amerikai kormány elismerte, hogy a Stuxnetet közösen fejlesztette az izraeli hadsereggel. A Stuxnethez egyértelműen kapcsolódott a Flame, amelyre 2012 májusában bukkantak rá. A kártevőt az F-Secure szerint kémtámadásra használták nyugati hírszerző ügynökségek a Közel-Keleten. A Flame többek között billentyűzet-naplózó és képernyőmentő szolgáltatásokkal is segíti a kémkedést. A kártevő ezen felül rákeres minden Office dokumentumra, PDF, Autodesk és szövegfájlra a helyi és a hálózati meghajtókon, sőt képes arra is, hogy az így eltulajdonított szövegből kinyerje a támadók számára releváns tartalmat. Sőt, a Flame képes a felhasználó számára észrevétlenül bekapcsolni a fertőzött gép mikrofonját, hogy lehallgassa, audio fájlba mentse és továbbítsa a gép közelében zajló párbeszédeket. Ez a veszélyes trójai emellett detektál minden digitális kamerával készült fényképet, amelyekből GPS adatokat nyer ki és küld tovább, valamint képes megtalálni a fertőzött géppel párosított bluetooth eszközöket, és kinyerni azok névjegyzékét vagy egyéb hasznos információit.
[+]
Bankoló trójaiak
2012 első felében tovább terjedt az úgynevezett bankoló trójai kártevők két családja, a Zeus és a SpyEye. Az első jellemzően a billentyűzetleütések elemzésével és az online űrlapok adatainak felhasználásával támad, míg konkurense minden előzetes figyelmeztetés nélkül a bankszámlánkat üríti ki az online bejelentkezést követően. Az online banki adatok lopására szakosodott trójai kártevők az utóbbi években modulárisan felépülő és a bűnözői csoportok igényeinek megfelelően formálható malware keretrendszerekké alakultak át. A többi szoftvertermékhez hasonlóan, ezeket is fejlesztői eszköztárak segítségével készítik és folyamatosan fejlesztik, hogy később a tényleges támadó számára eladhatóvá váljanak. Míg a SpyEye keretrendszerének fejlesztése úgy tűnik megakadt, a Zeus második verziójának forráskódjából származtatható malware tovább burjánzik, a Zeus botnet márciusi bezárása ellenére. Az F-Secure felhő keresési rendszerének adatai szerint a Zeus és SpyEye fertőzések 72 százalékát Nyugat-Európában azonosították, míg a többi megoszlik az USA, Kanada és India között.
A Mac-ek sem sebezhetetlenek többé
2012 elején kiderült az is, hogy az Apple számítógépek sem immunisak többé a támadásokkal szemben. Az úgynevezett Flashback trójai egy Java sebezhetőséget használ ki, és több mint 600.000 Mac-et fertőzött meg világszerte. A támadás durva becslés szerint az elérhető gépek 1 százalékát érintette, így ez az egyik legnagyobb méretű fertőzés a Windows rendszereket ért 2003-as Blaster és a 2009-es Conficker féregtámadások óta. A Flasback egy klasszikus online átirányítási mechanizmussal terjedt el: a felhasználók ellátogattak egy veszélyes weboldalra, ami azonnal átirányította őket egy Flashback-kel fertőzött honlapra. Amikor 2012 februárjában először kitört a Flashback járvány, a Java-t fejlesztő Oracle kiadott egy javítócsomagot a Windows felhasználók számára. Az Apple azonban éppen ezt megelőzően hajtott végre Java frissítéseket OS X-re, így még nem rendelkezett a megfelelő javítással, ami több ezer OS X Java felhasználót tett a vírus potenciális áldozatává. A Flasback trójai egy komplex kártevő, például képes „összezárni” magát a fertőzött hosttal, majd titkosítottan kommunikál a vezérlő szerverekkel. Az ilyen szintű kifinomultság egyértelműen arra enged következtetni, hogy a kártevőt malware-ek írásában több éves tapasztalattal rendelkező profi hekkercsoportok készítették.
Előre csomagolt fenyegetések
A sebezhetőségek kihasználása az utóbbi években egyre népszerűbbé, mára szinte a legkedveltebb eszközzé vált az online bűnözők körében. Tevékenységük felgyorsítása és egyszerűsítése érdekében a támadók elkezdték ezeket a sérüléseket összegyűjteni, és csomagba – úgynevezett exploit kitbe – rendezve árulni, és folyamatosan frissíteni a legutóbbi fejlesztésekkel, így automatikusan gyártható kártevő például az Internet Explorer, az Adobe Reader vagy a Java gyenge pontjaira építve. A támadók különböző stratégiákat választanak a kártevők terjesztésére, leggyakrabban fertőzött oldalakkal, keresőoptimalizálással és manipulatív eszközökkel vonzzák a felhasználókat a kívánt weboldalakra. A látogató számítógépét és böngészőjét a csomag megszondázza, így kiderül, hogy az nyitva áll-e az exploit kitben található fenyegetések előtt, amelyek ha kiaknázható sérülékenységet találnak, megfertőzik és manipulálhatóvá teszik az eszközt. Az egyik leghatékonyabb és legnépszerűbb ilyen exploit kit a Blackhole, amelyre olyan kártevőcsaládok épültek, mint a fentebb említett Zeus trójai vírus, vagy a különböző ransomware és rogueware típusú rosszindulatú programok.
Jelentősen nőtt a mobil eszközök fenyegetettsége
Az okostelefonok ellen irányuló támadások legfőbb célpontja az Android. Az operációs rendszerre írt kártevők száma az Androidos okostelefonok terjedésével egyenes arányosan tavaly kezdett jelentősen nőni, a trend pedig tovább folytatódott 2012-ben. A második negyedévben már 5333 különböző kártékony alkalmazást detektált az F-Secure, ami 64 százalékos növekedést jelent az előző negyedévhez képest. 2012 második negyedévében 19 új Androidra írt víruscsaládot regisztráltak, továbbá 21 új változatot a már ismert víruscsaládok esetében, ez utóbbiak jelentős százaléka a FakeInst és opFakeFamilies családokból származik. Mindezek alapján 2012 elkövetkező hónapjaira is további fejlődés jósolható az Android vírusok fejlesztésében. Bemutatkozott ugyanis két fontos technológia, a letöltés alapú (drive by download) módszer, amely a terjesztést segíti elő (ilyen például a trojan-proxy:android/NotCompatible.A.), valamint az olyan micro-blogging szolgáltatók bot-ként való-használata, mint a Twitter (ilyen például a trojan:android/Cawitt). A jelentés kitér arra az érdekességre is, hogy az Andoid vírusok hajlamosak regionális támadásokra koncentrálódni.
Zsarolás rendőrségi riasztással, gyerekpornóval
Reneszánszukat élik az úgynevezett ransomware típusú fenyegetések, amelyek zsarolási módszerrel csalnak ki pénzt az áldozatokból. A kártevők egyik legelterjedtebb válfaja megszerzi a kontrollt a felhasználó számítógépe vagy adatai felett, majd különböző fenyegetésekkel (például rendőrségi riasztás gyerekpornó tartalomért) kihasználja az áldozat meglepettségét, szégyenérzetét vagy félelmét, és az irányítás visszanyerése érdekében kényszeríti a váltságdíj összegének kifizetésére. Az utóbbi hónapokban az úgynevezett Reveton kártevőtörzs volt a legaktívabb, amely leginkább Nyugat-Európában szedte áldozatait. Érdekesség, hogy a Zeus kártevőcsalád egyik változata is elkezdett ransomware kártevőkhöz köthető szolgáltatásokat használni.
Továbbra is terjednek a hamis antivírus programok
A hamis antivírus és –kémprogramok régóta okoznak kellemetlenségeket a számítógépes felhasználóknak. A roguewareként vagy scarewareként ismert kártevők felhasználói felülete legális szoftverekére hasonlít, így manipulatív módon félrevezetik a felhasználót, és csalással, legtöbbször hamis vírus-szkennelési adatokkal győzik meg az adott program próbaverziójának letöltéséről, telepítéséről, majd a „teljes változat” megvásárlásáról. 2012 második negyedévében az F-Secure felmérései alapján a legnépszerűbb hamis biztonsági szoftvercsaládok közül a kompromittált gépek 40 százalékát a Security Shield, 35 százalékát a Security Sphere, 20 százalékát a FakeAV, további 5 százalékán pedig a Privacy Protection fertőzte meg.
Forrás: Sajtóközlemény
