Apple na celowniku cyberprzestępców

Po spokojnym 2011 r., w którym twórcy sieci zainfekowanych komputerów nie wymyślili niczego nowego, rok 2012 zaczął się od mocnego uderzenia.

W pierwszych trzech miesiącach tego roku cyberprzestępcy po raz pierwszy wykorzystali „bezplikowy” szkodliwy program w celu zbudowania botnetu. W okresie tym została również wykryta sieć zainfekowanych maszyn o liczbie infekcji na poziomie zbliżonym do botnetów działających na systemach Windows oraz sieć zombie złożona z 700 000 komputerów Mac.

Liczba nowych sygnatur szkodliwego oprogramowania dla platformy Mac OS X dodawanych do baz antywirusowych Kaspersky Lab

Wśród rosnącej liczby problemów związanych ze szkodliwym oprogramowaniem dla Maków znalazł się również wzrost liczby ataków ukierunkowanych na ten system. Użytkownicy muszą być czujni wobec ryzyka ataków cyberprzestępczych na organizacje, które wykorzystują zarówno platformy Windows, jak i Mac. W I kwartale 2012 r. jeden z incydentów dotyczył użycia przez cyberprzestępców dwóch trojanów – jednego dla Maka, drugiego dla Windowsa - w celu uzyskania dostępu do poufnych danych. W zależności od tego, który system operacyjny był wykorzystywany na atakowanej maszynie, ładowany był odpowiedni szkodliwy program. Oba trojany otrzymują polecenia z jednego centrum kontroli. Aby przeniknąć do systemu, cyberprzestępcy wykorzystali lukę w zabezpieczeniach, która występuje w środowisku Windows oraz Mac OS X. Skuteczny atak umożliwił im kontrolę nad zainfekowaną maszyną.

„Sądząc po tempie tworzenia nowego szkodliwego oprogramowania wykorzystywanego w ukierunkowanych atakach na system Mac OS X, tworzenie tych programów nie jest zajęciem zbyt skomplikowanym dla cyberprzestępców. Jednocześnie, beztroskie podejście wielu użytkowników Maków w połączeniu z brakiem ochrony na ich komputerach sprawia, że platforma ta jest najsłabszym ogniwem w firmowych systemach bezpieczeństwa” - powiedział Jurij Namiestnikow, starszy analityk szkodliwego oprogramowania w Kaspersky Lab.

Po czterech miesiącach przerwy do pracy wrócili autorzy Duqu. W I kwartale 2012 r. został wykryty nowy sterownik Duqu o funkcjonalności podobnej do poprzednich wersji. Różnica w kodzie była nieznaczna - wszystkie zmiany miały na celu uniknięcie wykrycia. Główny moduł Duqu związany ze sterownikiem nie został jeszcze znaleziony.

„Nasze założenia okazały się słuszne: trudno oczekiwać, że projekt, w który zainwestowano dużo pieniędzy, tak jak w przypadku rozwoju Duqu i Stuxneta, zostanie nagle wstrzymany. Cyberprzestępcy postąpili tak jak zwykle – zmienili kod, aby szkodnik uniknął wykrycia i kontynuował ataki” - stwierdził Aleksander Gostiew, główny ekspert ds. bezpieczeństwa z Kaspersky Lab.

W pierwszych trzech miesiącach bieżącego roku obserwowano również zakończoną sukcesem współpracę firm antywirusowych oraz organów ścigania, dzięki której udało się przejąć kontrolę nad liczącym 110 000 komputerów botnetem Hlux (Kelihos), zamknąć centra kontroli kilku botnetów ZeuSa atakujących użytkowników bankowości online oraz aresztować kilku rosyjskich cyberprzestępców.

km