Artykuły dotyczące tematu: cyberzagrożenia

dodany: 27.05.2013 | tagi: , ,

Ewolucja zagrożeń IT w pierwszym kwartale 2013 r.

0

Na samym początku roku Kaspersky Lab opublikował główny raport zawierający wyniki badania trwającego od pięciu lat programu globalnych operacji cyberszpiegowskich. Kampania ta otrzymała kryptonim Czerwony Październik. Celem ataków były różne agencje rządowe, organizacje dyplomatyczne oraz firmy na świecie. Czerwony Październik potrafił kraść dane nie tylko ze stacji roboczych, ale również z urządzeń mobilnych, gromadzić dane ze sprzętu sieciowego, zbierać pliki z urządzeń USB, kraść bazy e-mail z lokalnych archiwów Outlooka lub ze zdalnych serwerów POP/IMAP oraz wypakowywać pliki z lokalnych serwerów FTP w Internecie.

W lutym pojawił się nowy szkodliwy program, nazwany MiniDuke. Przeszukiwał on systemy, wykorzystując lukę 0-day w programie Adobe Reader (CVE-2013-0640). Eksperci z Kaspersky Lab wraz z węgierską firmą CrySys Lab prześledzili wydarzenia związane z tym szkodliwym oprogramowaniem i okazało się, że ofiarami MiniDuke’a były agencje rządowe na Ukrainie, w Belgii, Portugalii, Rumunii, Czechach oraz Irlandii, organizacje badawcze na Węgrzech, a także instytut badawczy, dwa naukowe centra badawcze oraz ośrodki medyczne w Stanach Zjednoczonych. W sumie zarejestrowano 59 ofiar w 23 krajach.

W lutym pojawił się także obszerny raport PDF firmy Mandiant na temat serii ataków dokonanych przez grupę chińskich hakerów działających pod nazwą APT1. Według raportu, grupa APT1 może być oddziałem chińskiej armii. Pekin nie po raz pierwszy został oskarżony o współudział w cyberatakach na agencje rządowe i organizacje z innych krajów. Nie jest jednak zaskoczeniem, że chiński rząd odrzuca zarzuty opublikowane w raporcie Mandiant.

Pod koniec lutego pojawiły się informacje o zidentyfikowaniu starszej wersji Stuxneta, nazwanej Stuxnet 0.5. Ta wcześniejsza wersja robaka, który zyskał międzynarodową „sławę”, była aktywna między 2007 a 2009 rokiem. Eksperci wielokrotnie podkreślali, że istniały (lub wciąż istnieją) wcześniejsze wersje tego szkodliwego programu, a Stuxneta 0.5 można uznać za pierwszy niepodważalny dowód potwierdzający tę teorię.

Pierwszy kwartał 2013 roku przyniósł ogromną liczbę poważnych incydentów związanych z cyberszpiegostwem i cyberbronią. Takie przypadki, które wymagają miesięcy nieustannego śledztwa, zdarzają się w branży antywirusowej dość rzadko. Podobnie jest z wydarzeniami, które nie tracą na powadze nawet trzy lata później – jak na przykład wykrycie robaka Stuxnet

– powiedział Denis Maslennikow, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.

Mimo że robak ten był analizowany przez wielu dostawców rozwiązań antywirusowych, wciąż istnieje wiele jego modułów, którym przyjrzeliśmy się zbyt pobieżnie albo których nie przeanalizowaliśmy jeszcze w ogóle. Przypadek Stuxneta w wersji 0.5 dostarczył nam nowe informacje o tym szkodliwym programie, ale prawdopodobnie przyszłość przyniesie ich jeszcze więcej. To samo można powiedzieć o innych cyberbroniach wykrytych po Stuxnecie, jak również o szkodliwych programach wykorzystywanych w cyberszpiegostwie — wciąż jeszcze nie wiemy zbyt wielu rzeczy

– dodał Maslennikow.

Pierwszy kwartał 2013 roku to także więcej ataków ukierunkowanych przeciwko tybetańskim i ujgurskim aktywistom. Wygląda również na to, że osoby przypuszczające ataki używają wszystkiego, co tylko mogą, aby dopiąć swego. Ich celem byli głównie użytkownicy systemów OS X, Windows oraz Android.

W 2011 roku byliśmy świadkami masowych ataków hakerskich na różne firmy i kilku poważnych wycieków danych. Może się wydawać, że te ataki spełzły na niczym, ale nic bardziej mylnego. Cyberprzestępcy jak zawsze są zainteresowani hakowaniem dużych firm i uzyskaniem dostępu do poufnych danych, łącznie z informacjami użytkowników. W pierwszym kwartale 2013 wśród ofiar znalazły się takie firmy jak Apple, Facebook, Twitter czy Evernote.

W pierwszym kwartale 2013 roku pojawiły się także liczne incydenty w kwestii zagrożeń mobilnych. Jeśli chodzi o wirusy mobilne, styczeń był stosunkowo spokojny. Dla odmiany w kolejnych dwóch miesiącach firma Kaspersky Lab wykryła ponad 20 000 nowych modyfikacji mobilnego szkodliwego oprogramowania, co stanowi mniej więcej połowę wszystkich próbek malware wykrytych w całym 2012 roku.

klp_szkodliwe_zasoby_online_q1_2013

Istotne zmiany można zauważyć w rozkładzie geograficznym szkodliwych usług hostingowych – Rosja spadła z pierwszego miejsca (19%, -6 proc.), zamieniając się ze Stanami Zjednoczonymi (25%, +3 proc.). Sytuacja innych krajów prawie nie zmieniła się od czwartego kwartału 2012 roku.

W rankingu najczęściej występujących luk nie odnotowano znaczących zmian. Na szczycie wciąż znajduje się Java – luki w tym oprogramowaniu zawierało ponad 45% komputerów. Eksperci z Kaspersky Lab odnotowali w pierwszym kwartale 2013 r. średnio osiem różnych prób ataków na każdym komputerze.

Pełny raport poświęcony ewolucji zagrożeń w pierwszym kwartale 2013 r. jest dostępny w serwisie SecureList.pl prowadzonym przez Kaspersky Lab.

Źródło: Kaspersky Lab

dodany: 07.05.2013 | tagi: , ,

Polska w pierwszej dziesiątce wśród przestępczych hostów – raport FireEye

0
FireEye

W zeszłym roku firma FireEye przechwyciła 12 milionów rodzajów szkodliwego oprogramowania z zainfekowanych komputerów firmowych w prawie 200 krajach. Korzystając z tych danych Malware Intelligence Lab FireEye zbadało, jak zagrożenia przebijają się przez zabezpieczenia oparte na sygnaturach, takie jak zapory ogniowe nowej generacji.

W nowym raporcie „The Advanced Cyber Attack Landscape” FireEye pokazuje najważniejsze cele cyberwojny oraz wzrost liczby krajów, które stały się hostami dla serwerów dowodzenia i kontroli (w skr. CnC). Wśród takich krajów przoduje USA, dalej Korea Południowa, Chiny, Rosja, Ukraina itd. Na 7 miejscu znalazła się Polska.

Z raportu wynika, że krajami oraz regionami najbardziej zagrożonymi zaawansowanymi cyberatakami są: USA, Hong Kong, Korea Południowa, Japonia, Chiny, Kanada itd.

dystrybucja cnc na swiecie 2012

Rozmieszczenie CnC na świecie. Źródło FireEye

Najwięcej ataków APT doświadczają branże związane z technologiami: bankowość, finanse, zdrowie, media, telekomunikacja itp.

top 20 krajów dystrybuujacych cnc

Top 20 krajów hostujących serwery CnC. 3% spośród wszystkich serwerów znajduje się w Polsce, co daje nam 7 miejsce w zestawieniu (nie licząc „innych”). Źródło FireEye

 

Badania FireEye w odpowiedniej perspektywie pokazują tę globalną pandemię zaawansowanych cyberataków nowej rasy

– powiedział Dave DeWalt, dyrektor generalny w FireEye.

 

Z raportu można dowiedzieć się także:

  • Jak szkodliwe oprogramowanie stało się międzynarodową działalnością, zarówno rządów państw, jak i cyberprzestępców.
  • Jak napastnicy unikają wykrycia – o strategicznym rozmieszczeniu serwerów CnC.
  • Jak państwa i prywatni napastnicy używają złośliwego oprogramowania do infiltrowania organizacji na całym świecie.

Pełny raport można pobrać na ze strony FireEye.

dodany: 05.04.2013 | tagi: , , ,

Zaawansowane cyberataki mają miejsce nawet co trzy minuty

0
FireEye

Firma FireEye, opublikowała raport „Advanced Threat Report” dotyczący zaawansowanych zagrożeń w II połowie 2012 r. Jak wynika z raportu, aktywność twórców szkodliwych aplikacji stała się tak duża, że firmy napotykają szkodliwe oprogramowanie omijające tradycyjne zabezpieczenia, załączniki do poczty elektronicznej lub łącza prowadzące do zarażonych stron nawet co trzy minuty. W raporcie wykorzystano dane dotyczące 89 mln zdarzeń związanych ze szkodliwym oprogramowaniem oraz informacje zdobyte bezpośrednio przez zespół badawczy z firmy FireEye. Dzięki temu dokument przedstawia globalne spojrzenie na cyberataki, które rutynowo pokonują tradycyjne zabezpieczenia, takie jak zapory sieciowe, zapory nowej generacji, systemy zapobiegania włamaniom (w skr. IPS), oprogramowanie antywirusowe i bramy zabezpieczające. Raport udostępnia przegląd bieżących zagrożeń, rozwijających się taktyk w dziedzinie złożonych, długotrwałych ataków APT oraz stopnia powszechności zagrożeń w sieciach współczesnych przedsiębiorstw. Obejmuje on również szczegółowe zestawienie trendów w poszczególnych branżach, a także omówienie przypadku zaawansowanego, długotrwałego ataku, który przeprowadzono w 2012 r.

Nasz raport dowodzi, że ataki stały się znacznie bardziej zaawansowane i skuteczniej wnikają do sieci przedsiębiorstw z każdej branży. Cyberprzestępcy inwestują coraz więcej w zaawansowane szkodliwe oprogramowanie i innowacje pozwalające im uniknąć wykrycia, dlatego firmy muszą ponownie przeanalizować swoją infrastrukturę zabezpieczeń i wzmocnić tradycyjne mechanizmy nową warstwą ochronną, potrafiącą wykrywać dynamiczne, nieznane zagrożenia w czasie rzeczywistym

— powiedział Ashar Aziz, założyciel firmy FireEye i jej dyrektor ds. technologicznych.

 

Najważniejsze wnioski z raportu dotyczącego zaawansowanych zagrożeń:

  • Firmy mają do czynienia ze zdarzeniami związanymi ze szkodliwym oprogramowaniem średnio nawet co trzy minuty. Poziom aktywności hakerów w poszczególnych branżach jest różny; najwyższy jest on w przypadku firm technologicznych, w których zagrożenia pojawiają się nawet co minutę. Niektóre branże są atakowane cyklicznie, w innych sektorach ataki następują natomiast nieregularnie.
  • Ataki typu spear phishing są w dalszym ciągu najpopularniejszą metodą rozprzestrzeniania zaawansowanych szkodliwych aplikacji. Osoby wysyłające wiadomości e-mail w ramach ataków tego typu stosują pliki o nazwach zawierających popularne terminy biznesowe, aby zachęcić niczego niepodejrzewających użytkowników do otwarcia szkodliwego oprogramowania i zainicjowania ataku. Wykorzystywane tu terminy można podzielić na trzy zasadnicze kategorie: wysyłka i dostawa, finanse oraz ogólne aspekty biznesowe. Przykładowo jednym z terminów pojawiających się najczęściej w nazwach takich plików jest np. słowo „UPS”.
  • Najchętniej stosowanym typem plików do rozpowszechniania szkodliwego oprogramowania są w dalszym ciągu pliki z rozszerzeniem ZIP, które są używane w 92% ataków.
  • Pojawiło się kilka innowacji ułatwiających uniknięcie wykrycia. Analitycy zauważyli ataki z użyciem szkodliwego oprogramowania, które uruchamia się dopiero wtedy, gdy użytkownik ruszy myszką — to sposób, który może przechytrzyć współczesne systemy wykrywania typu sandbox, ponieważ samo szkodliwe oprogramowanie nie generuje żadnej aktywności. Twórcy takich aplikacji uwzględniają też wykrywanie maszyn wirtualnych, aby obejść stosowane zabezpieczenia.
  • Hakerzy coraz częściej korzystają z plików DLL i rezygnują z popularnych plików .exe, aby wydłużyć czas trwania infekcji.

 

Szybkość i częstotliwość cyberataków odzwierciedla atrakcyjność szkodliwego oprogramowania dla przestępców. Obecnie jego twórcy intensywnie pracują nad technikami ataku, które omijałyby tradycyjne systemy zabezpieczeń. Jeśli firmy nie zmodernizują swoich strategii w tej dziedzinie, większość z nich stanie się łatwym celem

— powiedział Zheng Bu, dyrektor ds. badań w firmie FireEye.

 

Pełną wersję raportu dotyczącego zaawansowanych zagrożeń można znaleźć na stronie FireEye.

dodany: 27.02.2013 | tagi: , ,

Czy coś grozi komputerom i Internetowi? – wywiad z Mikko Hyppönenem

0
Wywiad

Przyglądając się wypadkom w cyfrowym świecie można dostać gęsiej skórki. Cyberwojny, inwigilacja i szemrane szajki haktywistów były do niedawna jedynie proroctwami filmów i książek z gatunku science fiction. Dzisiaj to nasza rzeczywistość. O tym, dokąd zmierza świat Internetu rozmawiamy z celebrytą branży security – Mikko Hyppönenem.

Mikko

Mikko Hyppönen – dyrektor ds. badań w F-Secure. Od lat walczy z problem bezpieczeństwa komputerów i sieci. W 2011 roku znalazł się na 61. miejscu listy Top 100 Światowych Myślicieli sporządzonej przez Foreign Policy. Został również uznany przez PC Word za jednego z 50 najważniejszych ludzi Internetu. Czynnie udziela się na Twitterze. Można również spotkać go na platformie TED. Pisał dla magazynów takich jak Scientific American, Wired czy The New York Times.

 

Od wielu lat walczy Pan z problemami bezpieczeństwa i braku prywatności w sieci. Co według Pana ważnego udało się do tej pory osiągnąć, co zwalczyć?

Ogólny poziom bezpieczeństwa komputerów nigdy nie był tak wysoki, jak jest dzisiaj. Jeśli spojrzeć na to, co osiągnęliśmy w ciągu ostatnich 10 lat, to jest to niezwykłe. Jednak cyberprzestępcy doskonale radzą sobie ze wszelkimi środkami ochrony. Tak więc, jeszcze nie skończyliśmy.

Coraz częściej słyszy się o łamaniu prawa do prywatności  obywateli przez rządy różnych, nie tylko totalitarnych państw. Co powinna zrobić ludzkość, żeby się temu przeciwstawić? Potrzeba nam jakiś narzędzi, międzynarodowych ustaleń?

Wiele zachodnich, demokratycznych krajów wykorzystuje malware przeciwko własnym obywatelom. Chociaż brzmi to dziwnie, rozszerzenie służące nadzorowi telefonu są rzeczywiście dość naturalnym zjawiskiem . Policja od zawsze mogła podsłuchiwać obywatela, kiedy był on podejrzany o poważne przestępstwo. Później dostała prawo do monitorowania wiadomości tekstowych oraz sprawdzania lokalizacji telefonu. Następnie prawo do przechwytywania komunikacji prowadzonej za pomocą komputera, na przykład e-maili. Jednak w większości komunikaty wysyłane przez sieć są teraz szyfrowane, więc samo przechwycenie ich nie wystarczy. Dlatego wykorzystywane są trojany i backdoory. Chociaż jest to bardzo skuteczny sposób w przypadku łapania prawdziwych przestępców, jest to straszliwe naruszenie prywatności, gdy podejrzany okazuje się niewinny. Chyba nie da się rozważyć wszystkich skutków i możliwości tego zjawiska.

Na co powinniśmy zwrócić uwagę, jako zwykli użytkownicy, żeby uchronić się przed utratą prywatności w sieci? Jak konkretnie możemy z tym walczyć?

Nie pisać w Internecie niczego, czego nie pozwolilibyśmy wydrukować w tradycyjnej prasie.

W zeszłym roku Google zapłaciło rachunek za elektryczność o wartości ponad 100 milionów. Tylko za energię potrzebną do uruchomienia wyszukiwarki google.com, Gmaila, YouTube etc. Można pomyśleć, że Google wpędza się w ogromne straty, ponieważ te wszystkie serwisy są darmowe. Ale to nie są straty. Tyle jest warta nasza prywatność.

Anonymous z grupy robiącej internetowe żarty przeobraziło się w poważnych, politycznych graczy. Przewiduje Pan jakieś kolejne przeobrażenia czy zmiany w ich działaniu?

Anonymous  zadomowili się na dobre. Nie sądzę, że mieliby zniknąć w najbliższym czasie. Mogą podzielić się na jakieś osobne ruchy w miarę różnych trudności związanych z rozwojem działalności grupy, ale ich ideologia już raczej się nie zmieni.

Powiedział Pan w rozmowie z Forbees,  że atak Stuxneta na irańską elektrownię był prawdopodobnie dziełem amerykańskiego rządu. Czy można z tego wywnioskować, że w przyszłości wojny pomiędzy państwami będą wyglądały podobnie?

Sam Stuxnet nie był aktem wojennym, ponieważ USA nie jest w stanie wojny z Iranem. Ale tak, w wojnach przyszłości spodziewam się właśnie takich aktów, jak ten. Cybernetyczny wyścig zbrojeń kwitnie i każdy zaawansowany technologicznie kraj już w nim uczestniczy.

A urządzenia mobline? Padniemy ofiarą plagi mobilnego malware? Jak się przed tym uchronić?

Jak dotąd mobilne złośliwe oprogramowanie było problemem tylko dla Androida. Ochrona pozostaje tu taka sama, jak na zwykłych PC: trzeba zainstalować program antywirusowy. Dla  iPhone’ów czy Windows Phone’ów nie zauważam realnego zagrożenia.

Często wspomina Pan, że musimy być gotowi na nagły krach Internetu czy komputerów. Jak Pan myśli, co może się wtedy stać? Będziemy jeszcze (znów) potrafili funkcjonować offline?

Myślę, że nie powinniśmy polegać zbytnio na komputerach. Ale równocześnie nie prognozuję jakiejś globalnej, stałej awarii Internetu.  Na razie nie widzę żadnych przesłanek, żebyśmy musieli spodziewać się upadku Internetu.

Czy dlatego gromadzi Pan klasyczne gry wideo i stare maszyny do pinballa? ;-)

Nie, to nie dlatego… :)

 

Zapraszamy do obejrzenia filmu wideo, na którym Hyppönen opowiada o historii wirusów i ochronie Internetu.