Informacja prasowa

Syryjskie szkodliwe oprogramowanie ewoluuje
w niepokojącym tempie
Warszawa, 19 sierpnia 2014 r.
W ciągu ostatnich kilku lat konflikty geopolityczne na Bliskim Wschodzie,
a szczególnie w Syrii, uległy pogłębieniu. Konflikt cyberprzestępczy na tym obszarze
zaostrza się, a obie strony próbują przechylić szalę zwycięstwa na swoją stronę,
wykorzystując cyberwywiad i inne metody. Najnowsze badanie Kaspersky Lab
ujawniło cały wachlarz szkodliwego oprogramowania związanego z Syrią,
wykorzystującego szereg różnych technik, łącznie z wyrafinowanymi sztuczkami
socjotechnicznymi.
Na przestrzeni kilku ostatnich lat cyberataki w Syrii stały się bardziej widoczne – spora część
aktywności w cyberprzestrzeni była związana właśnie z tym państwem. Syrian Electronic
Army, grupa hakerów komputerowych, została powiązana z atakami na znane organizacje,
w tym wiele mediów. Na portalach społecznościowych rozprzestrzeniano szkodliwe
oprogramowanie w celu uzyskania kontroli nad systemami oraz kradzieży danych
uwierzytelniających. Ponadto wykryto niezałataną lukę we Flashu na wielu syryjskich
stronach, które zostały zaatakowane kilka miesięcy wcześniej, a twórca narzędzia zdalnej
administracji DarkComet wycofał to popularne oprogramowanie po tym, jak pojawiły się
doniesienia o powszechnym wykorzystywaniu go w Syrii. Ataki dotykają także użytkowników
spoza Syrii, w krajach takich jak Turcja, Arabia Saudyjska, Liban, Palestyna, Zjednoczone
Emiraty Arabskie, Izrael, Maroko, Francja oraz Stany Zjednoczone.
Z badania przeprowadzonego przez Kaspersky Lab wynika, że cyberprzestępcy
wykorzystują sytuację w tym regionie, aby tworzyć szereg różnych szkodliwych programów
potrafiących uzyskiwać dostęp do danych użytkowników. Syryjskie szkodliwe
oprogramowanie wykorzystuje w dużej mierze socjotechnikę i zaufanie użytkowników, aby
móc szybko rozprzestrzeniać się i infekować systemy. Szkodnik ten zostaje zamaskowany
na różne sposoby, w tym pod postacią fałszywych skanerów szkodliwego oprogramowania,
aplikacji dla portali społecznościowych, legalnych narzędzi systemowych zawierających
trojany oraz darmowych publicznych serwisów współdzielenia plików.
Jak wynika z przeanalizowanych próbek, cyberprzestępcy najczęściej próbowali
monitorować system przy użyciu narzędzia do zdalnej administracji Dark Comet, które nie
tylko wysyła na zdalny serwer informację o każdym znaku wprowadzonym z klawiatury, ale
również sprawia, że zainfekowany system jest podatny na ataki. Wykorzystanie języków
programowania wysokiego poziomu oznacza, że twórcy szkodliwego oprogramowania mogą
łatwo modyfikować swoje twory, co pozwala, przy minimalnym wysiłku, przetestować nowe
szkodliwe kampanie i błyskawicznie skonstruować ataki ukierunkowane. Syryjskie szkodliwe
oprogramowanie również ewoluuje i nic nie wskazuje na to, że w najbliższym czasie ulegnie
to zmianie.
Przykłady syryjskiego szkodliwego oprogramowania
Cyberprzestępcy powszechnie rozsyłają filmy w celu przyciągnięcia uwagi użytkowników
i rozprzestrzeniania szkodliwego oprogramowania. Jednym z przykładów jest film pokazujący
zranione ofiary niedawnego ataku bombowego, który miał wzbudzić strach w oglądających
i skłonić ich do pobrania szkodliwej aplikacji z publicznego serwisu współdzielenia plików.
Plik ten został mocno zaciemniony przy użyciu komercyjnego narzędzia “MaxToCode”, aby
zapobiec wykryciu go przez rozwiązania antywirusowe. Po uruchomieniu tego pliku tworzony
jest kolejny plik wykonywalny, który komunikuje się z narzędziami zdalnego dostępu. W tym
przypadku trojan jest wykorzystywany do wyłączenia części ustawień bezpieczeństwa,
rejestrowania znaków wprowadzanych z klawiatury i informacji systemowych oraz odesłania
ich po nawiązaniu połączenia z internetem.
Wśród próbek szkodliwego oprogramowania zbadanych przez Kaspersky Lab znajdował się
skompresowany zestaw plików znalezionych na popularnym serwisie społecznościowym,
które rzekomo zawierały listę aktywistów oraz osób poszukiwanych w Syrii. Znajdował się
tam odsyłacz umożliwiający pobranie bazy danych, jednak w rzeczywistości przekierowywał
on użytkowników do serwisu współdzielenia plików, w którym znajdował się skompresowany
plik (RAR) zawierający szkodliwe oprogramowanie wraz z narzędziem zdalnej administracji
wykorzystywanym przez cyberprzestępców.
Fałszywe aplikacje, w tym fałszywe programy antywirusowe, cieszą się popularnością wśród
cyberprzestępców. Kalkulatory, moduły ładujące gry itd. są wykorzystywane do
rozprzestrzeniania szkodliwego oprogramowania. Jednym z przykładów jest „Ammazon
Internet Security” – szkodliwa aplikacja, która próbuje podszywać się pod skaner
bezpieczeństwa. Analiza kodu pokazała, że duża część funkcjonalności jest związana
z interfejsem programu, nie posiada jednak rzeczywistych funkcji bezpieczeństwa. Nie
oferując niczego poza kilkoma przyciskami i chwytliwą nazwą, grupy stojące za syryjskim
szkodliwym oprogramowaniem mają nadzieję, że ich cele wpadną w zastawione sidła.
Ukradkowe wykonanie narzędzia zdalnej administracji podczas uruchamiania „pakietu
bezpieczeństwa” powoduje, że na komputerach ofiar nie ma żadnej ochrony, jest natomiast
zainstalowane narzędzie pozwalające na zdalny dostęp do komputera.
Narzędzia wykorzystywane do rozprzestrzeniania szkodliwych programów obejmują
komunikatory, które wykorzystują również autorzy syryjskiego szkodliwego oprogramowania.
W przeciwieństwie do „Ammazon Internet Security” próbki te nie posiadają interfejsu
graficznego ani nawet komunikatu ostrzegającego użytkowników, aby zatroszczył się
o swoje bezpieczeństwo - od razu infekują system.
Z badania wynika, że do szpiegowania Syryjczyków stosowane są także legalne aplikacje
z osadzonym szkodliwym oprogramowaniem. Oferowanie aplikacji bezpieczeństwa, które
chronią przed szpiegostwem, to jedna z wielu technik wykorzystywanych przez grupy
tworzące szkodliwe oprogramowanie w celu nakłonienia użytkowników chroniących swoją
prywatność, aby wykonali sami zainstalowali podejrzane aplikacje. Przykładem może być
wersja oprogramowania Total Network Monitor, która została zmodyfikowana przez
cyberprzestępców tak, aby zbierała informacje systemowe, ukrywając jednocześnie całą
szkodliwą aktywność do momentu pełnego zainstalowania „legalnego” narzędzia.
Zrozumieć pułapkę
Syryjskie szkodliwe oprogramowanie opiera się w dużej mierze na socjotechnice oraz
aktywnym rozwoju wariantów szkodników, które charakteryzują się coraz większą
złożonością pod względem technologicznym. Jednak po bliższym zbadaniu większość z tych
programów szybko ujawnia prawdziwą naturę. Między innymi dlatego użytkownicy powinni
dokładnie sprawdzać, skąd pobierają pliki/aplikacje, i stosować wielowarstwową ochronę.
Posiadanie uaktualnionego, skutecznego programu antywirusowego oraz zapory sieciowej
powinno być pierwszym krokiem podjętym przez użytkowników, którzy w jakikolwiek sposób
korzystają z internetu.
„Połączenie kilku czynników, takich jak socjotechnika, szybki rozwój aplikacji oraz zdalne
narzędzia administracji wykorzystywane do przejęcia całego systemu ofiary tworzy
niepokojący scenariusz dla niczego niepodejrzewających użytkowników. Sądzimy, że ataki
dokonywane przy użyciu syryjskiego szkodliwego oprogramowania nadal będą
przeprowadzane, a ich ewolucja będzie miała charakter zarówno jakościowy, jak i ilościowy.
Dlatego też użytkownicy – nawet spoza terytorium Bliskiego Wschodu - powinni zachować
szczególną ostrożność wobec podejrzanych odsyłaczy, dokładnie sprawdzać, co pobierają,
oraz mieć zainstalowane niezawodne i wszechstronne rozwiązanie bezpieczeństwa” –
powiedział Ghareeb Saad, starszy badacz ds. bezpieczeństwa, Globalny Zespół ds. Badań
i Analiz, Kaspersky Lab.
W celu zidentyfikowania szkodliwego oprogramowania aplikacja zabezpieczająca
wykorzystuje wykrywanie oparte na sygnaturach lub heurystyce. To pierwsze polega na
wyszukiwaniu niepowtarzalnej sekwencji bajtów, która jest typowa dla danego fragmentu
szkodliwego kodu, podczas gdy w wykrywaniu heurystycznym szkodliwe oprogramowanie
jest identyfikowane na podstawie zachowania aplikacji. W badaniu przeprowadzonym przez
Kaspersky Lab zebrano ponad 80 próbek szkodliwego oprogramowania wykorzystywanych
do atakowania obywateli syryjskich oraz użytkowników z Bliskiego Wschodu. Chociaż
większość z nich było już znanych, cyberprzestępcy wykorzystują szeroki wachlarz narzędzi
i technik zaciemniania, aby zmienić strukturę szkodliwego oprogramowania i obejść
wykrywanie oparte na sygnaturach. To dowodzi, jak istotne są technologie heurystyczne
jeżeli chodzi o ochronę przed tego rodzaju atakami. Rozwiązania bezpieczeństwa firmy
Kaspersky Lab wykryły wszystkie próbki z kolekcji dzięki możliwości identyfikowania
wariantów znanych rodzajów szkodliwego oprogramowania, a nawet ich nowych rodzin.
Pełny raport z badania Kaspersky Lab poświęconego syryjskim cyberzagrożeniom jest
dostępny
w
języku
angielskim
na
stronie
https://securelist.com/files/2014/08/KL_report_syrian_malware.pdf.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako
źródła.
Wszystkie informacje prasowe
http://www.kaspersky.pl/news.
Kaspersky
Lab
Polska
są
dostępne
na
stronie
Dalszych informacji udziela
Piotr Kupczyk
Dyrektor biura komunikacji z mediami, Kaspersky Lab Polska
E-mail: [email protected]
Tel. bezpośredni: 22 206 59 61
Tel. kom.: 518 935 846
Informacje o Kaspersky Lab
Kaspersky Lab jest największą na świecie prywatną firmą tworzącą rozwiązania do ochrony punktów końcowych.
Firma znalazła się w pierwszej czwórce producentów rozwiązań bezpieczeństwa punktów końcowych
w klasyfikacji ogólnoświatowej*. Od 16 lat swojej działalności Kaspersky Lab pozostaje innowatorem w dziedzinie
bezpieczeństwa IT i oferuje skuteczne rozwiązania bezpieczeństwa cyfrowego dla klientów indywidualnych, firm
z sektora SMB oraz przedsiębiorstw. Obecnie firma działa w prawie 200 krajach na całym świecie, zapewniając
ochronę ponad 300 milionom użytkowników. Polskie przedstawicielstwo firmy istnieje od 2000 r. Więcej informacji
można uzyskać na stronie www.kaspersky.pl. Informacje o bezpieczeństwie przygotowywane przez ekspertów
z firmy są dostępne w serwisie SecureList.pl oraz na oficjalnym blogu Kaspersky Lab – Kaspersky Daily.
* Firma uplasowała się na czwartym miejscu w rankingu IDC „Worldwide Endpoint Security Revenue by Vendor, 2012”. Ranking
ten został opublikowany w raporcie IDC „Worldwide Endpoint Security 2013-2017 Forecast and 2012 Vendor Shares” (IDC
#242618, sierpień 2013). W raporcie producenci oprogramowania zostali uszeregowani według wysokości dochodów ze
sprzedaży rozwiązań bezpieczeństwa punktów końcowych w 2012 r.