Szczegółowa analiza ataków na użytkowników Skype, wykonana przez specjalistów ds. zagrożeń z laboratorium badawczego Cyberoam, globalnego lidera rozwiązań do zintegrowanej ochrony sieci UTM, pozwoliła określić ukryte motywy cyberprzestępców.
Celem Cyberoam Threat Research Labs (CTRL) jest identyfikacja i zaawansowana analiza współczesnych zagrożeń sieciowych, co pozwala na przygotowanie bardziej precyzyjnych mechanizmów ochronnych m.in. przed atakami złośliwego oprogramowania.
– Specjalizujemy się w dostarczaniu zintegrowanych rozwiązań bezpieczeństwa UTM dla sektora MŚP oraz dla segmentu korporacyjnego. Na bieżąco analizujemy nie tylko zagrożenia sieciowe, ale także motywy działania cyberprzestępców w celu określania przyszłych potencjalnych źródeł ataków – komentuje Paweł Śmigielski, Country Channel Manager Cyberoam na Polskę.
Ostatnio głośno było o atakach na użytkowników programu Skype – najpierw ze strony nowego wariantu robaka „Dorkbot”, a potem za sprawą ataków ukierunkowanych na generowanie elektronicznej waluty Bitcoin. Ich analiza pozwoliła wyłonić pewien trend: ataki są coraz bardziej precyzyjnie planowane, a ich celem oprócz zysku staje się wiedza o ofiarach i ich systemach informatycznych. Zbliża to cyberprzestępców do marketingowców, czyniących wszystko, aby jak najlepiej poznać swoje „grupy docelowe”.
Co naprowadziło ekspertów Cyberoam Threat Research Labs na takie wnioski?
Przypadek 1: atak na użytkowników Skype
Użytkowników Skype na systemach Windows zaatakował nowy wariant robaka „Dorkbot”. Rozprzestrzenia się on poprzez linki wysyłane na czacie, wykorzystując ciekawość użytkowników. Atakujący tym samym tworzą sobie tylną furtkę (backdoor), którą mogą wykorzystać do kolejnych ataków i utworzenia botnetu, czyli grupy zainfekowanych maszyn. Robak łączy się z serwerem IRC, gdzie może otrzymywać dodatkowe polecenia. Monitorując komunikację sieciową może przechwytywać nazwy użytkowników i hasła oraz blokować dostęp do stron oferujących aktualizacje/łatki bezpieczeństwa. Ponieważ robak może przechwycić komunikację przez przeglądarkę internetową z wykorzystaniem różnych wbudowanych API, jest w stanie także wykradać poufne dane. Program może także przeprowadzać ograniczone ataki DoS. Co więcej, dzięki niemu atakujący mogą zyskać dostęp do zdalnego serwera FTP i infekować wybrane pliki HTML, dodając do nich IFrame, istotną dla rozprzestrzeniania się robaka. Dorkbot atakował już wcześniej, a dostawcy rozwiązań ochronnych wydali odpowiednie łatki i aktualizacje. Kolejna wersja robaka dowodzi jednak, że udało się je ominąć. Można się spodziewać, że w przyszłości pojawią się jeszcze nowsze wersje tego złośliwego kodu, które będą zawierać nowe funkcje i sposoby ataku.
Przypadek 2: kradzież waluty bitcoin
Głośnym przypadkiem był także atak mający na celu generowanie waluty Bitcoin. Ofiarami ponownie zostali użytkownicy Skype, którzy kliknęli na fałszywy, skrócony link Google (goo.gl) do pobrania pliku graficznego, z komentarzem: „Co myślisz o tym pliku?”. Dyskusje dotyczące tego zagrożenia skoncentrowane były na jego zdolności do generowania waluty Bitcoin. Testy przeprowadzone przez Cyberoam Threat Research Labs wskazały jednak także na inne zagrożenia. Laboratorium zyskało dostęp do serwera hostującego szkodliwe oprogramowanie, który zawierał też inne narzędzia – w tym te umożliwiające ataki pozwalające na kradzież tożsamości użytkowników. Laboratorium wykryło, że cyberprzestępcy wykorzystywali oprogramowanie geolokalizacyjne aby określić miejsce, organizację, prędkość połączenia i typ użytkownika. Dalsze śledztwo ujawniło, że po zainfekowaniu i zrestartowaniu komputera program przedstawiał komunikat z oczekiwaniem zapłaty za jego usunięcie. Istotne było to, że atakujący pozostawił sobie furtkę do zarządzania złośliwym oprogramowaniem oraz aktualizacji plików binarnych, co pozwalało na dłuższe pozostanie niezauważonym przez silniki antywirusowe.
Wnioski
Oba przypadki łączy widoczny trend rozwoju złośliwego oprogramowania, ukierunkowany na dostarczenie atakującemu jak największej wiedzy o użytkownikach (ofiarach) – nawet jeżeli nie z myślą o natychmiastowym zysku, to na pewno o przyszłych atakach.
Koreluje to z drugim trendem – w dobie powszechnego użycia tysięcy aplikacji sieciowych, stają się one bardzo popularnym celem coraz bardziej wyszukanych ataków. Cyberprzestępcy wiedzą więcej o naszych zwyczajach, coraz łatwiej identyfikują nasze zachowania i uważniej wybierają potencjalne ofiary.
–Kontrola nad tym, które aplikacje i przez kogo są wykorzystywane to kluczowy aspekt zarządzania bezpieczeństwem informatycznym firmy. Dlatego jest to fundamentem naszych systemów oferujących funkcję kontroli bezpieczeństwa opartej o tożsamość użytkownika, gdy funkcjonuje on w sieci jako konkretna osoba – komentuje Paweł Śmigielski.
Samo udostępnianie łatek i sygnatur, bez odpowiedniej edukacji użytkowników i kontroli nad tym, które aplikacje są uruchamiane w sieci, nie jest już dzisiaj wystarczającym zabezpieczeniem.