Ilość wirusów podwoiła się
Kaspersky Lab, producent rozwiązań do ochrony danych, informuje o opublikowaniu rocznego raportu dotyczącego ewolucji szkodliwego oprogramowania i spamu w 2007 roku: Kaspersky Security Bulletin 2007. Przegląd aktywności wirusowej w 2007 roku dostarcza informacji dotyczących głównych incydentów związanych z wirusami, analizę trendów w tworzeniu i dystrybucji wirusów, jak również prognozy firmy Kaspersky Lab.
Raport skierowany jest zarówno do specjalistów z dziedziny IT, jak i użytkowników komputerów PC zainteresowanych problematyką wirusów komputerowych.
Kaspersky Security Bulletin 2007
Ogólnie można powiedzieć, że rok 2007 okazał się najbardziej "wirusowym" rokiem w historii. W okresie tym ponad dwukrotnie zwiększyła się całkowita liczba zagrożeń IT. W 2007 roku firma Kaspersky Lab dodała do antywirusowych baz danych prawie tyle samo sygnatur co w ciągu minionych 15 lat. Eksperci z dziedziny rozwiązań antywirusowych intensywnie pracowali, aby zwalczyć te zagrożenia. Jest to bardzo niepokojące i jeśli w 2008 roku sytuacja nie zmieni się radykalnie (co jest wysoce nieprawdopodobne), do końca roku liczba zagrożeń znów się podwoi.
Ataki DoS stanowiły jedne z najpoważniejszych zagrożeń bezpieczeństwa informatycznego. W 2007 roku wykorzystywano je nie tylko do wyłudzania pieniędzy, ale również jako narzędzie do walki politycznej i zdobycia przewagi konkurencyjnej. Szeroko relacjonowany w mediach atak na Estonię, jaki miał miejsce w maju 2007 roku, uznawany jest przez wielu ekspertów za pierwszy przypadek cyberwojny.
Eksperci z firmy Kaspersky Lab przewidują, że w 2008 roku szkodliwe programy nadal będą ewoluowały z pojedynczych szkodników w kierunku bardziej zaawansowanych, zintegrowanych projektów. Możemy się również spodziewać dużego wzrostu liczby incydentów związanych z zainfekowanymi pakietami dystrybucyjnymi gier i programów udostępnianymi na popularnych stronach internetowych lub za pośrednictwem sieci P2P. Celem wirusów będą pliki dostarczane przez użytkowników innym użytkownikom, ponieważ w wielu przypadkach ta metoda propagacji jest skuteczniejsza niż wysyłanie zainfekowanych plików za pośrednictwem poczty elektronicznej.
Według analityków spamu pracujących w Kaspersky Lab, w 2007 roku poziom spamu w ruchu pocztowym wynosił 79,2%. Całkowita ilość spamu wysyłanego w ciągu roku zwiększyła się prawie dwukrotnie z powodu ogólnego wzrostu liczby wiadomości wysyłanych za pośrednictwem poczty elektronicznej oraz zwiększenia się liczby zainfekowanych komputerów wykorzystywanych do wysyłania spamu.
Największym spamerem były Stany Zjednoczone, na drugim miejscu znalazła się Rosja, na trzecim Polska.
Głównym kierunkiem w ewolucji spamu było wykorzystywanie wysyłek błyskawicznych. Dzięki tej metodzie miliony wiadomości mogą dotrzeć do użytkowników w ciągu zaledwie 15-30 minut. Jeśli chodzi o format spamu, warto wspomnieć również o wiadomościach z załączonymi plikami mp3, które zostały wykryte w październiku. Analitycy spamu z firmy Kaspersky Lab przewidują, że ilość spamu w ruchu pocztowym w 2008 roku pozostanie na takim samym poziomie co w ostatnim kwartale 2007 roku, przy czym może nastąpić bardzo niewielki wzrost. Spamerzy prawdopodobnie nadal będą zwiększali prędkość swoich wysyłek oraz liczbę wiadomości zawartych w jednej wysyłce.
Rok 2007 w skrócie
Rok 2007 zostanie zapamiętany jako rok upadku tak zwanych
niekomercyjnych szkodliwych programów. Jednak dopiero czas pokaże, czy
szkodniki te zniknęły na dobre. Na razie możemy powiedzieć jedynie
tyle, że w 2007 roku osoby stojące za wszystkimi największymi
epidemiami oraz szkodliwymi programami kierowały się pobudkami
finansowymi. Jest to pewien przełom w stosunku do 2006 roku, gdy nadal
pojawiały się wirusy wandale - przykładem może być epidemia spowodowana
przez Nyxem.E, robaka, który nie robił nic poza rozprzestrzenianiem się
i usuwaniem plików.
Prawie wszystkie epidemie w 2007 roku były krótkotrwałe i nie
obejmowały całego Internetu, ale ograniczały się do określonych
regionów i państw. Trend ten stał się standardem dla epidemii.
Bez wątpienia na tle licznych nowych szkodliwych programów,
jakie pojawiły się w 2007 r., wyróżniał się robak Storm (sklasyfikowany
przez Kaspersky Lab jako Zhelatin). Szkodnik ten zadebiutował w
styczniu 2007 roku. W ciągu roku zademonstrował szereg różnych
zachowań, metod rozprzestrzeniania się oraz taktyk socjotechniki. Wraz
z każdym pojawieniem się nowej wersji tego stworzonego przez nieznanego
autora szkodnika eksperci z dziedziny zwalczania szkodliwego
oprogramowania rwali sobie włosy z głowy.
Zhelatin ucieleśniał prawie wszystkie osiągnięcia twórców
szkodliwego oprogramowania w z ostatnich kilku lat, z których wiele
pojawiło się wcześniej tylko jako kod "proof of concept". Obejmowały
one technologie rootkit, śmieciowy kod, botnet, który potrafi
zabezpieczyć się przed analizą i badaniem, oraz interakcję między
zainfekowanymi komputerami za pośrednictwem sieci P2P bez pojedynczego
centrum kontroli. Robak wykorzystywał wszystkie istniejące metody
propagacji, od tradycyjnych (wiadomości e-mail oraz komunikatory
internetowe) po usługi Web 2.0 (serwisy społecznościowe, blogi, fora i
kanały RSS). Cyberprzestępcy wykorzystali również coraz większe
zainteresowanie internautów filmikami wideo, maskując Zhelatina jako
plik wideo.
Główną funkcją robaka Storm było stworzenie sieci, które
byłyby następnie wykorzystywane jako spamowe platformy przeprowadzające
ataki DoS. Zmiany w trendach spamu w 2007 roku zostały opisane w
osobnym szczegółowym raporcie. Jeżeli chodzi o ataki DoS, stanowiły one
jeden z kluczowych tematów bezpieczeństwa informatycznego w 2007 roku.
O ile ataki te były aktywnie wykorzystywane w latach
2003-2004, do 2007 roku nie stanowiły popularnego narzędzia wśród
cyberprzestępców. W zeszłym roku powróciły jednak do łask, ale już nie
jako narzędzie do wyłudzania pieniędzy, ale jako sposób na prowadzenie
wojny politycznej i konkurencyjnej. Atak DoS na Estonię w maju 2007
roku był szeroko relacjonowany przez media i wielu ekspertów uznało go
za pierwszą w historii wojnę cybernetyczną. Bez wątpienia za wieloma
atakami DoS przeprowadzonymi w 2007 roku stała konkurencja ich ofiar.
Zaledwie cztery lata temu ataki DoS wykorzystywane były wyłącznie przez
hakerów szantażystów oraz szkodliwych użytkowników. Obecnie jednak
stały się produktem w takim samym stopniu jak wysyłki spamowe oraz
wykonywane na zamówienie szkodliwe programy. Reklamowanie usług
przeprowadzania ataków DoS stało się powszechnym zjawiskiem, a ich ceny
są porównywalne z cenami przeprowadzania wysyłek spamowych.
W 2007 branża cyberprzestępcza wprowadziła kilka nowych
rodzajów działalności przestępczej. Szybko rozwijał się biznes
tworzenia szkodliwych programów na zamówienie. Nabywcom takich
szkodników oferowano nawet wsparcie techniczne. Najlepszym przykładem
takiej działalności jest prawdopodobnie trojan szpiegujący Pinch. W
ciągu kilku lat stworzono ponad 4 000 wariantów tego trojana. Większość
z nich powstało na zamówienie innych szkodliwych użytkowników. Jednak
wątek ten prawdopodobnie znalazł swój koniec: w grudniu 2007 roku szef
Rosyjskich Federalnych Służb Bezpieczeństwa poinformował, że udało się
ustalić tożsamość autorów Pincha.
Innym, podobnym przykładem jest wirus Fujack. Ten chiński
szkodnik został stworzony w celu kradzieży danych użytkowników gier
online, a jego autorzy sprzedawali go każdemu, kto był zainteresowany
jego kupnem. Obecnie istnieje kilkaset wariantów Fujacka. Jego twórca
zarobił na nim co najmniej 12 000 dolarów - taką sumę podały chińskie
organy ścigania, które aresztowały cyberprzestępcę wraz z kilkoma jego
klientami.
Fujack był jednym z najbardziej wyróżniających się szkodliwych
programów z wszystkich rodzin trojanów atakujących gry w 2007 roku. W
2006 roku na scenie dominowały trojany z rodziny Banker (stworzone w
celu kradzieży danych z kont bankowych), a firma Kaspersky Lab
przewidywała, że w 2007 roku będziemy świadkami rywalizacji pod
względem liczby nowych programów między trojanami Banker oraz trojanami
atakującymi gry.
Jak pokazują wyniki z końca roku, pod względem ilościowym
wygrały trojany atakujące gry: trojany te wyraźnie przewyższyły
liczebnie trojany z rodziny Banker. Należy jednak zauważyć, że obecnie
nie ma jeszcze żadnej bezpośredniej rywalizacji pomiędzy tymi dwiema
rodzinami trojanów, ponieważ ich cele nadal stanowią dwie osobne grupy.
Świadczy o tym fakt, że nadal nie pojawił się żaden trojan atakujący
gry, który potrafi kraść dane dotyczące kont bankowych. Mimo że
teoretycznie nietrudno byłoby stworzyć taką hybrydę, brak takich
programów wskazywałby na to, że twórcy wirusów nie uważają ich ani za
krytyczne, ani chociażby za interesujące.
Do najbardziej znamiennych wydarzeń 2007 roku można zaliczyć
masowe włamywania się na strony www, a następnie umieszczanie na nich
szkodliwego oprogramowania (odsyłaczy do zainfekowanych stron).
Przykładem może być włamanie się na prawie 10 000 włoskich stron
internetowych w czerwcu, kiedy to na zainfekowanych stronach został
umieszczony pakiet exploitów Mpack. Tego typu ataki hakerskie
przeprowadzane były na całym świecie przez cały rok, a największy atak
miał miejsce pod koniec 2007 roku, gdy ponad 70 000 stron internetowych
w różnych państwach zostało zainfekowanych szkodliwym kodem
pobierającym na zaatakowane maszyny innego trojana atakującego gry.
Incydent we Włoszech związany z Mpackiem zwrócił uwagę na inną
działalność cyberprzestępczą: w trakcie śledztw ustalono, że na
stronach internetowych RBN (Russian Business Network) umieszczono
szkodliwe oprogramowanie. Dogłębna analiza wykazała, że RBN setki razy
była wykorzystywana jako platforma do rozprzestrzeniania szkodliwego
oprogramowania. Był to tak zwany hosting "bullet-proof" - dostawcy
usługi gwarantowali swoim klientom anonimowość, ochronę przed
powództwem sądowym oraz brak jakichkolwiek plików logowania.
Wokół RBN wybuchł wielki skandal trwający przez całe lato i
początek jesieni 2007 roku, gdy RBN zostało usunięte w cień. Sieć
rozpadła się na kilka mniejszych platform hostingowych rozmieszczonych
w różnych państwach na całym świecie w celu zminimalizowania
rzeczywistej skali jej działalności.
Były to główne wydarzenia roku 2007, który okazał się
najbardziej "zawirusowanym" w dotychczasowej historii. Poniższy diagram
ukazuje liczbę wszystkich szkodliwych programów, programów AdWare oraz
potencjalnie szkodliwych programów, które zostały dodane do
antywirusowej bazy danych firmy Kaspersky Lab w 2007 roku:
Całkowita liczba wszystkich nowych programów w roku 2006 i 2007.
| |
Liczba w 2007 |
Liczba w 2006 |
Wzrost 2006/2007 |
| TrojWare |
201 958 |
91 911 |
119,73% |
| VirWare |
12 416 |
6 282 |
97,64% |
| MalWare |
5 798 |
4 558 |
27,20% |
| AdWare |
14 382 |
2 583 |
456,79% |
| RiskWare |
2 690 |
|
|
| Razem |
237 244 |
105 334 |
125,23% |
Rozkład dystrybucji szkodliwych programów,
programów AdWare oraz potencjalnie szkodliwych programów w roku 2007.
Całkowita liczba zagrożeń w 2007 roku zwiększyła się ponad
dwukrotnie. W 2007 roku firma Kaspersky Lab dodała do swojej
antywirusowej bazy danych prawie taką samą liczbę nowych programów co w
ciągu poprzednich 15 lat.
Internet nigdy wcześniej nie doświadczył tak dużej liczby
zagrożeń. Firma Kaspersky Lab robiła wszystko co w jej mocy - czasem
nawet podejmowała się niemożliwego - aby zwalczyć te zagrożenia.
Sytuacja jest niepokojąca; jeśli w 2008 roku nie zmieni się (są
podstawy, aby sądzić, że tak właśnie się stanie), do końca roku liczba
zagrożeń znów podwoi się.
Pełna wersja rocznego raportu "Kaspersky Security Bulletin 2007" jest dostępna w Encyklopedii Wirusów Viruslist.pl prowadzonej przez Kaspersky Lab.
|
