Wśród ofiar wirusa, który zainfekował co najmniej 164 tysiące adresów IP na całym świecie znaleźli się głównie polscy użytkownicy serwisów finansowych. Jest to kolejna, po przejęciu ponad 40 domen obsługujących botnet Virut, akcja NASK wymierzona w cyberprzestępców.

Citadel

Botnet Citadel najprawdopodobniej powstał w wyniku wycieku kodu źródłowego innego groźnego wirusa komputerowego o nazwie „Zeus” w 2011 roku. Na jego podstawie stworzono wiele różnych mutacji złośliwego oprogramowania, wśród których znalazł się także Citadel. Twórcy odsprzedają oprogramowanie umożliwiające budowę własnego botnetu wraz z panelem kontrolnym pozwalającym na sterowanie jego pracą. Dzięki temu klienci mogą samodzielnie infekować wybrane maszyny. Zaatakowane wirusem urządzenia stają się komputerami-zombie, które bez wiedzy swoich właścicieli łączą się w sieci i są wykorzystywane często do działań niezgodnych z prawem. Botnety Citadel, chociaż głównie wykorzystywane do kradzieży poufnych danych, umożliwiają również ściąganie innego złośliwego oprogramowania,  a więc docelowo również mogą zostać wykorzystane np. do prowadzenie ataków sieciowych typu DDoS,  czy dystrybucji spamu.

• Specjalistom z działającego w NASK zespołu CERT Polska udało się ustalić, że polska infrastruktura sieciowa była wykorzystywana do rozpowszechniania i kontrolowania odmiany botnetu Citadel o nazwie „plitfi”. Dzięki niej cyberprzestępcy mogli śledzić i rejestrować, w formie zrzutów ekranu lub nagrań, aktywności na komputerze atakowanego. Pozwalało im to na przechwytywanie danych logowania w momencie, gdy użytkownik był proszony o ich wprowadzenie. Dodatkowo osoby odpowiedzialne za ataki zyskiwały możliwość dowolnej modyfikacji wyglądu witryny systemu transakcyjnego. Przykładem takiego działania było wyświetlanie komunikatów o rzekomo błędnym przelewie, jaki został dokonany na konto ofiary. Ponadto Citadel umożliwiał przekierowanie danej domeny na inny adres IP w celu zablokowania użytkownikowi dostępu do stron, które mogłyby mu pomóc w usunięciu złośliwego oprogramowania.

Przejęcie domen

Ze względu na fakt wykorzystywania do działalności jednoznacznie szkodliwej dla użytkowników sieci Internet, NASK przejął trzy nazwy domenowe: infocyber.pl, secblog.pl oraz online-security.pl, związane z działaniem wirusa Citadel. Ruch z wyżej wymienionych domen został przekierowany na serwer kontrolowany przez zespół CERT Polska, co umożliwiło gromadzenie i analizę danych dotyczących działalności botnetu. Jak się okazało, dziennie odnotowywano średnio 8 tysięcy połączeń z różnych komputerów. Między 11 marca a 4 kwietnia 2013 roku eksperci z CERT Polska zanotowali całkowitą liczbę 164 323 unikalnych adresów IP zaatakowanych przez Citadel. Dotknięte nim komputery pochodziły z 75 krajów, a największą liczbę połączeń wykonały urządzenia korzystające z polskich adresów sieciowych. Odpowiadały za blisko 80 proc. wszystkich wysyłanych komunikatów.

Tabela: Kraje, z których pochodziło najwięcej połączeń; Źródło: Raport „Przejęcie domen instancji plitfi botnetu Citadel”

autor: Jan Petersen

W ubiegłym roku do zespołu trafiło ponad 10 mln automatycznych zgłoszeń dotyczących naruszeń bezpieczeństwa. Po raz pierwszy od 2005 roku wzrosła liczba incydentów obsłużonych przez CERT Polska ręcznie,a więc często tych najpoważniejszych. W 2012 roku było ich 1 082, czyli o blisko 80 proc. więcej niż przed rokiem, głównie za sprawą złośliwego oprogramowania i phishingu.

Raport CERT pokazał, że wiele automatycznych zgłoszeń napływających do zespołu to efekt działania  botnetów, czyli sieci komputerów zarażonych złośliwym oprogramowaniem. Są one wykorzystywane przez cyberprzestępców do różnych celów zarobkowych, w tym m. in. spamu, kradzieży danych, ataków DDoS, oszustw polegających na generowaniu fałszywych kliknięć, na przykład na reklamy.  

Jak podkreślają specjaliści, prawie 2 mln botów w polskich sieciach to efekt działalności botnetu Viruta, złośliwego oprogramowania DNSChanger oraz dwóch odmian groźnego trojana bankowego Zeusa. Natomiast 137 zgłoszeń dotyczyło samych zlokalizowanych w Polsce serwerów zarządzających siecią botów. Lokalizacja tych serwerów w naszym kraju jest nowym niebezpiecznym trendem.

• Wzrost liczby ataków, których celem jest kradzież danych potwierdzają zgłoszenia, jakie pracownicy CERT Polska obsłużyli w sposób ręczny. Najwięcej tego typu zgłoszeń dotyczyło phishingu. Zjawisko to polega na wyłudzaniu poufnych informacji od użytkownika przez cyberprzestępców podszywających się pod godną zaufania osobę lub instytucję, jak np. bank czy sklep internetowy.
• Końcowym efektem jest często utrata środków pieniężnych. W ubiegłym roku przypadki phishingu stanowiły około 50 proc. zgłoszeń naruszenia bezpieczeństwa sieciowego obsłużonego ręcznie. Do wzrostu tego typu zagrożeń przyczyniło się w dużej mierze złośliwe oprogramowanie. Ich udział w liczbie incydentów wzrósł blisko trzykrotnie i w 2012 roku był powodem niemal 20 proc. interwencji zespołu CERT Polska.

Informacje na temat incydentów sieciowych, zawarte w raporcie zespołu, pochodzą z systemów własnych CERT Polska oraz od zagranicznych instytucji zajmujących się bezpieczeństwem teleinformatycznym. Są  one także wynikiem podejmowanych przez CERT działań na rzecz bezpieczeństwa sieci. W związku z tym, dane te dają szeroki obraz tego, co naprawdę dzieje się
w polskim Internecie.

autor: Jan Petersen

Najczęściej wykradanymi informacjami są te dotyczące dostępu do konta bankowego, numerów kart kredytowych, konta pocztowego, a nawet loginu i hasła do portali społecznościowych.

Według raportu CERT (Computer Emergency Response Team), aż 50 proc. najpoważniejszych wykrytych w ubiegłym roku zagrożeń w Polsce było efektem phishingu. Co piąte zagrożenie było wynikiem działania złośliwego oprogramowania – to trzykrotnie więcej niż rok wcześniej. Większość wirusów jest rozpowszechniana razem z nielegalnie pobieranymi programami lub plikami muzycznymi czy filmowymi.

• Eksperci dodają, że cyberataki niekoniecznie są motywowane pragnieniem zysku. W niektórych przypadkach mają one przyczyny polityczne. Tzw. haktywizm to manifestowanie swoich poglądów w internecie. Przykładem są tu ataki na strony rządowe z końca 2012 r. Były one wyrazem protestu przeciwko planom podpisania przez polskie władze ograniczającej wolność internetu umowy ACTA.
• W niektórych przypadkach dochodziło nawet do zablokowania komputera i żądania okupu od jego właściciela. W 2012 r. zgłoszono automatycznie aż 10 mln przypadków naruszeń bezpieczeństwa.  Ransomware, czyli blokowanie przez przestępców dostępu do komputera i żądanie okupu za jego odblokowanie, początkowo zdarzał się w Rosji, ale teraz rozprzestrzenia się na resztę świata – głównie Europę Zachodnią i USA, ale zdarza się także w Polsce.

– To przeniesienie w przestrzeń wirtualną porywania ludzi i żądania za nich okupu – mówi Agencji Informacyjnej Newseria Maciej Iwanicki z firmy Symantec, zajmującej się bezpieczeństwem danych oraz zarządzaniem informacjami. – W zależności od tego, gdzie uruchomi się to zagrożenie, to przedstawiana jest tej osobie strona żądająca okupu w danym języku. Jeżeli połączyliśmy się ze Stanów Zjednoczonych, to prawdopodobnie pojawi nam się informacja z FBI z informacją po angielsku, a jeżeli z Polski, to najczęściej pojawia się informacja z polskiej policji. Podszywający się pod służby publiczne przestępcy będą np. żądać od nas zapłaty mandatu za nielegalne oprogramowanie – dodaje Maciej Iwanicki.

Wciąż jednak połowa ataków na komputery to tzw. phishing. Cyberprzestępcy podszywają się pod instytucje uważane za godne zaufania, takie jak banki czy sklepy internetowe, celem wyłudzenia pieniędzy jako zapłaty za istniejący towar lub uzyskaniu bezpośredniego dostępu do konta użytkownika.

CERT Polska jest zespołem powołanym do reagowania właśnie na zdarzenia naruszające bezpieczeństwo w sieci. Działa w ramach NASK (Naukowej i Akademickiej Sieci Komputerowej). Według ekspertów tej organizacji, ataki internetowe przy użyciu złośliwego oprogramowania, w połączeniu z wyrafinowanymi metodami inżynierii społecznej, stają się coraz bardziej dochodowym przedsięwzięciem, a przez to coraz powszechniejszym. W 2012 r. zagrożeń kwalifikowanych jako najpoważniejsze było o 80 proc. więcej niż rok wcześniej.

– Na wykradzeniu informacji nie kończy się działalność hakera. Może on także „sprzedać” nasz komputer, aby wziął udział w innych atakach, np. by wysyłał spam. Cyberprzestępca może również wykorzystać moc komputera do tego, by „spieniężyć” zasoby domowe naszego komputera – Maciej Iwanicki z firmy Symantec.

autor: Cezary Tchorek-Helm

W obliczu dynamicznie zmieniającego się spektrum ataków przy użyciu złośliwego oprogramowania ukierunkowanego na konkretne cele, FORTINET opracował listę pięciu kategorii, w których oceniana jest możliwość potencjalnej infekcji urządzenia.

1.     Nieudane próby nawiązania połączenia

Typowe zachowania złośliwego oprogramowania często obejmują próby nawiązania połączenia z hostami, które nie istnieją w Internecie. Mimo że niektóre nieudane próby połączeń mogą wynikać z błędu użytkownika lub transmisji na łączach, seria nieudanych połączeń może oznaczać infekcję złośliwym oprogramowaniem.

2.     Wybór aplikacji

Host instalujący aplikację do wymiany plików między użytkownikami (P2P) okazuje się bardziej niebezpieczny od hosta instalującego grę. Niektóre przedsiębiorstwa mylnie stawiają oba te ryzykowne działania na równi. Właściwa ewaluacja zagrożeń pozwala na sklasyfikowanie ryzyka w odpowiedni sposób.

3.     Położenie geograficzne

Za ryzykowne należy uznać połączenia z hostami zlokalizowanymi w określonych krajach, szczególnie jeśli obserwowany jest przy tym wzmożony ruch w sieci. Przy ocenie takiego zachowania należy uwzględnić tzw. „białą listę”, na której znajdują się zaufane serwisy internetowe z poszczególnych krajów.

4.     Informacje o sesji

Jeśli urządzenie rozpoczyna nasłuch na porcie, umożliwiający odebranie połączenia zewnętrznego, ale nie inicjuje połączenia, przyczyną takiego zachowania może być infekcja typu APT (Advanced Persistent Threat).

5.     Kategoria lokalizacji docelowej

Wizyty w określonego typu serwisach internetowych, takich jak serwisy dla hazardzistów, pornograficzne lub inne zawierające złośliwy kod, również narażają na potencjalną infekcję APT.

„Identyfikacja ryzykownego zachowania użytkowników i aplikacji stanowi kolejny krok na drodze do ochrony przed zaawansowanymi zagrożeniami o długotrwałym działaniu. Ochrona oparta na sygnaturach już nie wystarcza. Bardzo istotna jest budowa kompletnego, ewoluującego i aktualnego obrazu zachowania klientów sieciowych” — wyjaśnia Mariusz Rzepka, Territory Manager na Polskę, Ukrainę i Białoruś. „Reputacja klientów i ich klasyfikacja stanowi kluczowy element procesu strukturyzacji i identyfikacji ogromnych ilości informacji o zabezpieczeniach dostępnych w każdym przedsiębiorstwie. Poza tym pozwala wykorzystać te informacje do utworzenia dynamicznych zabezpieczeń ukierunkowanych na konkretne zagrożenia”.

• Te i inne powiązane problemy zostały szczegółowo omówione w nowym artykule przeglądowym firmy FORTINET: “Detecting What’s Flying Under the Radar: The Importance of Client Reputation in Defending Against Advanced Threats” (Wykrywanie zagrożeń w martwym polu radaru: rola reputacji klienta w walce z zaawansowanymi zagrożeniami). Wyjątkowa funkcja dostępna w ramach rozwiązań firmy FORTINET, czyli zarządzanie reputacją klientów, która oczekuje na pozytywne rozpatrzenie wniosku patentowego, jest jedną ze sztandarowych funkcji najnowszego systemu operacyjnego FortiOS 5.

autor: Mariola Czapkiewicz