Home  |  Aktualności  |  e-Komunikacja  |  WWW  |  Bezpieczeństwo  |  Linux  |  Programy  |  GSM/UMTS  |  Rozrywka

Wiosenne zagrożenia w internecie

Atak DDoS na LiveJournal

Atak DDoS na LiveJournal.com, zapoczątkowany pod koniec marca, trwał do początku kwietnia i był dużym wydarzeniem medialnym w Rosji. Dzięki temu że monitorowaliśmy jeden z botnetów odpowiedzialnych za ten atak, odkryliśmy kilka szczegółów na jego temat. Na początku każdy komputer w botnecie otrzymał polecenia atakowania jednego lub dwóch odsyłaczy dziennie. Jednak 4 kwietnia boty otrzymały listę 36 odsyłaczy, obejmującą http://livejournal.com oraz http://livejournal.ru.

 

 

Pozostałe odsyłacze z listy prowadziły do popularnych stron w rosyjskojęzycznej blogosferze. W dniach 30 marca, 4 i 6 kwietnia strony te były niedostępne w różnym czasie. Ataki ustały po 6 kwietnia.

Monitorowany przez nas botnet opierał się na popularnym bocie Optima, który w pod koniec 2010 roku pojawił się w sprzedaży. Kilka czynników wskazuje na to, że wykorzystana do tych ataków sieć zombie składała się z dziesiątek tysięcy maszyn zainfekowanych botem Optima. Oprócz ataków DDoS funkcje tego bota obejmowały również pobieranie innych plików wykonywalnych na zainfekowane komputery oraz kradzież haseł do wielu popularnych gier.

Exploity wykorzystujące luki w PDF

Po raz kolejny odnotowaliśmy wzrost wykorzystywania exploitów wykorzystujących luki w produktach firmy Adobe. Jeden z takich exploitów - Exploit.JS.Pdfka.dmg – pojawił się na dziewiątym miejscu rankingu 20 najbardziej rozpowszechnionych szkodliwych programów wykrywanych w Internecie. Liczba użytkowników, którzy padli ofiarą ataków różnych wariantów Exploit.JS.Pdfka, kształtowała się w kwietniu na poziomie setek tysięcy. Poniższy wykres pokazuje, w jakich regionach ataki były najbardziej skoncentrowane.

Cyberprzestępcy po raz kolejny wykorzystywali taktykę polegającą na umieszczaniu szkodliwego skryptu na zhakowanych legalnych stronach. Jeżeli taka strona została odwiedzona przez osobę posiadającą oprogramowanie zawierające luki, szkodliwy skrypt niemal natychmiast wykorzystywał lukę, pobierając na komputer ofiary jeden lub więcej szkodliwych programów. Jest to klasyczny atak “drive-by download”.

W kwietniu Adobe usunął najnowszą serię luk wykrytych w Adobe Reader oraz Adobe Acrobat. Luki te zostały ocenione jako “krytyczne”. Wszystkim użytkownikom, którzy mają te aplikacje na swoich komputerach, zalecamy pobranie i zainstalowanie aktualizacji. Łaty dla różnych wersji produktów można pobrać tutaj: www.adobe.com/support/security/bulletins/apsb11-08.html.

Luka MS11-020

W tym samym miesiącu firma Microsoft opublikowała 17 biuletynów zawierających łaty na luki w różnych produktach z rodziny Windows. Wśród zidentyfikowanych 63 dziur znajdowała się krytyczna luka MS11-020. Luka ta została wykryta w serwerze SMB i umożliwiała zdalne wykonanie kodu przy użyciu specjalnie stworzonego pakietu wysłanego do podatnego na ataki systemu. Dziura ta stanowi poważne zagrożenie – w przeszłości wykrycie podobnych luk spowodowało pojawienie się robaków, takich jak Kido. Dlatego zalecamy użytkownikom, aby jak najszybciej uaktualnili swoje systemy.
Trojany SMS

W omawianym miesiącu trojany SMS nadal rozprzestrzeniały się w szybkim tempie, głównie w Rosji. Jednym ze sposobów propagacji takich trojanów jest spam SMS. W kwietniu otrzymywaliśmy regularne zgłoszenia o takich incydentach.

Zauważyliśmy podobieństwa między kilkoma z takich wysyłek spamu SMS:
- wiadomości zostały wysłane w mniej więcej tym samym czasie (około godz. 14)
- większość wiadomości miała następująca treść: “There’s an MMS for the subscriber <numer telefonu odbiorcy>. See: http://******.do.am/???_?????.jar”
- zainfekowane odsyłacze wykorzystywały nazwy plików: YaZ.jar oraz 606.jar

W czasie, gdy pojawiły się pierwsze spamowe wiadomości SMS, pliki, do których prowadziły odsyłacze, były już wykrywane przez Kaspersky Lab jako Trojan-SMS.J2ME.Smmer.f.

Kolejną ciekawostką jest to, że szkodliwe strony, do których prowadziły odsyłacze, wydają się być stworzone przy użyciu darmowego narzędzia online do tworzenia stron internetowych. Właściciel tego narzędzia oferuje również usługi hostingowe, które cyberprzestępcy wykorzystywali do utrzymywania swoich szkodliwych stron.

Zamknięcie botnetu Coreflood


Cały czas trwa kampania antybotnetowa. Po zamknięciu botnetu Rustock, o którym pisaliśmy w raporcie marcowym, przyszła kolej na zlikwidowanie centrów kontroli ogromnego botnetu o nazwie Coreflood. Większość z 2 milionów maszyn zombie, które tworzyły ten botnet, była zlokalizowana w Stanach Zjednoczonych. Zamknięcie Coreflooda zostało zainicjowane przez amerykański departament sprawiedliwości, który otrzymał zgodę na przejęcie kontroli nad botnetem. Następnie do wszystkich botów w tej sieci wysłano polecenia, aby przestały działać.

Nie jest to pierwszy przypadek zlikwidowania botnetu na skutek interwencji władz. Innym przykładem może być zamknięcie botnetu Rustock - możliwe dzięki wspólnym działaniom firmy Microsoft oraz amerykańskich organów ścigania - czy zlikwidowanie botnetu Bredolab, którego właściciele zostali aresztowani przez holenderską policję.

Miejmy nadzieję, że to nie ostatni raz, gdy władze państwowe decydują się zainterweniować, aby pomóc w zamknięciu botnetów.

Atak hakerski na sieć PlayStation Network

Pod koniec kwietnia firma Sony poinformowała, że jej sieć PlayStation Network (PSN) padła ofiarą ataku hakerskiego. Firma potwierdziła, że niezidentyfikowany haker znalazł się w posiadaniu wszelkiego rodzaju danych dotyczących użytkowników, łącznie z nazwiskiem, adresem e-mail, adresem pocztowym, datą urodzenia, loginem oraz hasłem. Mimo braku dowodów Sony nie wyklucza, że osoba, która przeprowadziła atak, mogła przechwycić również dane dotyczące kart kredytowych.

Firma poinformowała, że prowadzi dochodzenie w sprawie tego incydentu we współpracy z organizacją, której nazwy nie ujawniła. W sieci PSN zarejestrowanych jest około 75 milionów kont, dlatego incydent ten stanowi największy wyciek danych osobowych.

Użytkownikom PSN zalecamy, aby bacznie obserwowali operacje na swoich kontach bankowych i uważali na wszelkie oznaki oszustw. Ponadto, jeżeli mają to samo hasło do sieci PSN i innych zasobów, powinni natychmiast je zmienić. Należy również uważać na wszelkie e-maile rzekomo pochodzące od Sony lub powiązanych podmiotów, w których nadawcy żądają podania informacji osobistych.

2 maja firma Sony wydała oświadczenie, w którym poinformowała, że w wyniku ataku hakerskiego cyberprzestępcy uzyskali dostęp do danych osobistych (nazwisko, adres, e-mail, płeć, data urodzenia, numer telefonu, login oraz hasło) nie tylko graczy PSN, ale również użytkowników Sony Online Entertainment. Firma oświadczyła również, że hakerzy uzyskali dostęp do przestarzałej bazy z 2007 roku, zawierającej numery i daty wygaśnięcia 12 700 kart kredytowych i debetowych.

Źródło: www.Kaspersky.pl