FORTINET, dostawca zaawansowanych rozwiązań bezpieczeństwa sieciowego, opublikował wyniki badania przeprowadzonego przez specjalistów ds. zagrożeń z FortiGuard Labs za okres od 1 stycznia do 31 lipca 2013 r. Według raportu, w ciągu ostatnich siedmiu miesięcy, liczba złośliwych programów atakujących urządzenia mobilne wzrosła o 30 proc. Dodatkowo zespół FortiGuard Labs ujawnił, że pomimo wprowadzania poprawek, atakujący nadal wykorzystują luki w zabezpieczeniach programów Ruby on
Rails, Java, Acrobat i Apache.
Coraz więcej złośliwych programów atakuje urządzenia mobilne
W ciągu ostatnich siedmiu miesięcy laboratorium FortiGuard Labs odnotowało 30-procentowy wzrost liczby złośliwych programów atakujących urządzenia mobilne. Zespół monitoruje ponad 1 300 nowych próbek dziennie, śledząc ponad 300 unikatowych rodzin złośliwych programów i ponad 250 000 unikatowych złośliwych próbek atakujących system Android. Na wykresie nr 1 przedstawiono dane na temat mobilnego oprogramowania złośliwego w okresie od stycznia 2013 r. do lipca 2013 r.
– Jeszcze trzy lata temu złośliwe oprogramowanie atakujące urządzenia mobilne nie stanowiło realnego zagrożenia dla użytkowników i firm. Większość ówczesnych złośliwych programów atakujących smartfony i tablety, m.in. wirus Cabir lub oprogramowanie typu scam, zaliczano do kategorii oprogramowania annoyware, za pośrednictwem którego popełniano oszustwa SMS-owe lub zamieniano ikony” – wyjaśnia Axelle Apvrille, badacz oprogramowania antywirusowego z FortiGuard Labs. – Urządzenia mobilne stały się bardzo popularne, a wraz ze wzrostem liczby użytkowników rozszerzyło się też grono cyberprzestępców, przy czym badania wskazują na to, że tendencja wzrostowa szybko się nie odwróci.
Wszystko zaczęło się od Symbiana
W 2009 r., kiedy systemy iOS i Android były jeszcze nowością, większość złośliwych programów atakowała system operacyjny Symbian. Kodowaniem wielu złośliwych programów zajmowali się programiści z Europy Wschodniej i Chin, czyli z miejsc, w których system Symbian był bardzo popularny. Na wykresie nr 2 przedstawiono kraje o najwyższych wskaźnikach rozpowszechnienia złośliwego oprogramowania na urządzenia mobilne w 2009 r.
Rok 2013 zmienił krajobraz zagrożeń mobilnych
Rok 2013 był rokiem gwałtownych zmian w krajobrazie zagrożeń mobilnych. Producenci zaczęli powszechnie korzystać z systemu operacyjnego Android, a na rynku zaroiło się od smartfonów. Urządzenia z systemem Android stały się powszechnie dostępne w niemal każdym przedziale cenowym, od niewiarygodnie tanich, prostych urządzeń po wielofunkcyjne, najnowocześniejsze cuda techniki. Lawinowo rosła też liczba aplikacji rozszerzających funkcjonalność urządzeń mobilnych, a cyberprzestępcy i inni oszuści dostrzegli w tym nową szansę na zyski.
Na scenę wkracza oprogramowanie ransomware
W 2012 r. laboratorium FortiGuard przewidziało nadchodzące nowe zagrożenie ze strony oprogramowania ransomware.
– Oprogramowanie ransomware przynosiło cyberprzestępcom ogromne zyski, nic więc dziwnego, że postanowili zaatakować urządzenia mobilne – mówi Richard Henderson, specjalista ds. strategii bezpieczeństwa w laboratorium FortiGuard Labs firmy FORTINET. – Złośliwe oprogramowanie Fake Defender na Androida przypomina oprogramowanie na zwykłe stacje robocze podszywające się pod programy antywirusowe – pozoruje dobre zamiary, a w rzeczywistości czeka tylko na właściwy moment, aby ujawnić swoje prawdziwe oblicze. Blokuje telefon ofiary, a następnie żąda opłaty za odblokowanie urządzenia. Można albo zapłacić okup, albo wyczyścić wszystkie dane, co równa się utracie zdjęć i informacji, o ile nie utworzono wcześniej kopii zapasowych.
Nowe ataki z wykorzystaniem dobrze znanych luk w zabezpieczeniach
Laboratorium FortiGuard alarmuje, że atakujący nadal korzystają z luk w zabezpieczeniach, które miały być naprawione przez najnowsze poprawki wprowadzane w programach Ruby on Rails, Java, Adobe Acrobat i Apache.
Ruby on Rails
W styczniu informowano o przypadkach zdalnego wykonywania kodu na serwerze WWW z wykorzystaniem krytycznej luki w zabezpieczeniach frameworka Ruby on Rails. Ruby on Rails (RoR) to framework do tworzenia aplikacji webowych w języku programowania Ruby. Umożliwia szybkie, proste i przejrzyste wdrażanie witryn internetowych Web 2.0. Framework RoR cieszy się dużą popularnością i wykorzystywany jest do tworzenia setek tysięcy witryn internetowych.
Problem dodatkowo pogłębia moduł Metasploit, który w zamyśle miał służyć do eksplorowania podatności, lecz może być też wykorzystywany do wyszukiwania serwerów WWW podatnych na atak.
– Do ataku wykorzystywano wadę w procedurze deserializacji XML, stosowanej do tworzenia obiektów Ruby w czasie rzeczywistym – wyjaśnił Richard Henderson. –Po czterech miesiącach od wprowadzenia poprawek do RoR stało się jasne, że atakujący nadal próbują wyszukiwać i wykorzystywać serwery WWW bez poprawek i zarażać je złośliwym oprogramowaniem.
Zdalne wykonywanie kodu Java
W styczniu odkryto atak typu zero-day, omijający środowisko sandbox Java, aby samowolnie wykonać kod Java. Technologia Java jest wszechobecna – różne formy technologii Java instaluje się i uruchamia na większości komputerów. Luka umożliwiała uruchamianie programu Java przez złośliwy aplet z pominięciem środowiska Java sandbox i uzyskanie pełnego dostępu do zaatakowanego komputera.
Ataki wykryto w fazie rozprzestrzeniania i szybko zintegrowano z wieloma popularnymi zestawami do ataków oprogramowania crimeware, takich jak BlackHole, Redkit i Nuclear Pack, a ich nabywcy mogli wykorzystywać eksploita do instalowania złośliwego oprogramowania na komputerach. Powstał też moduł Metasploit, służący do prostego wyszukiwania ofiar na zasadzie „wskaż i kliknij”.
– W ataku wykorzystano lukę w komponencie JMX (Java Management Extensions), dzięki której złośliwy aplet rozszerzał swe uprawnienia i wykonywał dowolny kod Java – wyjaśnił Richard Henderson.
Oracle szybko stworzyła poprawkę łatającą wykrytą lukę, jednak – podobne jak w przypadku innych eksploitów zintegrowanych w zestawach oprogramowania crimeware – liczba ofiar ataków nadal rośnie, głównie wśród osób korzystających z wersji Java bez poprawki, na których wciąż można zainstalować złośliwe oprogramowanie.
Atak typu zero-day na oprogramowanie Acrobat/Acrobat Reader
W lutym wykryto eksploit dla plików PDF, podszywający się pod formularz tureckiej wizy turystycznej, który wykorzystywał uprzednio niewidoczną lukę w oprogramowaniu Adobe Reader. Eksploit działał we wszystkich najnowszych wersjach Adobe Reader (9.5.X, 10.1.X i 11.0.X) oraz w większości wersji Microsoft Windows, m.in. 64-bitowej Windows 7 i prawie wszystkich systemach Mac OS X.
Za pośrednictwem eksploita dla plików PDF cyberprzestępcy instalowali złośliwe oprogramowanie na docelowych komputerach.
Poprawkę Adobe Reader opublikowano 20 lutego, jednak cyberprzestępcy nadal korzystają z przepakowanych wersji eksploita do ataków typu „spear-phishing”. Luki w oprogramowaniu Adobe Reader służą im też jako sposób rozpowszechniania złośliwego oprogramowania wśród użytkowników, którzy nie instalują regularnie wszystkich nowych poprawek.
CDorked atakuje Apache.
W kwietniu wykryto nowy atak na Apache, popularny serwer WWW. Złośliwe oprogramowanie CDorked zainfekowało serwer WWW, aby przekierowywać odwiedzających na inne serwery rozpowszechniające złośliwe oprogramowanie za pośrednictwem zestawu BlackHole. Atak mógł też obejmować platformy serwerowe Lighttpd i Nginx Web.
CDorked jest pod wieloma względami podobny do ataku DarkLeech na serwery Apache z 2012 r., jednak jest znacznie bardziej podstępny i inteligentny: CDorked złośliwie modyfikuje istniejący binarny program httpd, zamiast pobierać dodatkowe złośliwe moduły na zainfekowany serwer, tak jak w przypadku ataków DarkLeech.
CDorked nie zapisywał żadnych informacji na dysku twardym serwera WWW – wszystko zapisywano w pamięci, a dostęp uzyskiwano za pośrednictwem zakamuflowanych żądań GET, przesyłanych przez atakujących na docelowy serwer. Żadne tego typu żądanie GET nie zostało zarejestrowane.
CDorked działał w sposób inteligentny
– CDorked dysponował wbudowanym systemem limitującym – powiedział Richard Henderson. – Nie próbował przekierowywać każdego odwiedzającego na witrynę BlackHole. Stawał się niewidoczny dla użytkowników próbujących uzyskać dostęp do stron administratora, a więc osób, które mogłyby szybciej zauważyć przekierowanie na witrynę rozpowszechniającą oprogramowanie crimeware. CDorked nie jest wyjątkiem: inne złośliwe programy potrafią równie inteligentnie rozpoznawać analityków złośliwego oprogramowania.