Cyfrowy koszmar użytkownika

  • Marek Mejssner
opublikowano: 30-12-2018, 22:00

Malware od początku lat 80. powoduje duże straty. Na początku w formie wirusów, obecnie w formie wyrafinowanych ataków celowanych, jak ransomware, konie trojańskie czy malware wojskowe. Nie wiemy, ile przyniosły strat — najgorsze z nich wycenia się na 38,5 mld USD, ale są to szacunki wstępne

Stanowią zagrożenie dla zwykłych użytkowników komputerów, globalnych korporacji i instytucji rządowych, jak resorty obrony. Szyfrują dyski twarde, korzystają z exploitów 0-day, ułatwiają prowadzenie ataków DDOS, wykorzystują backdoory i wykradają dane. Malware i jego odmiany stanowią rosnący od dziesięcioleci problem — nowe rodzaje malware roznoszą się przez podmienione biblioteki .dll, które na pierwszy rzut oka funkcjonują właściwie, zaś liczba ataków ransomware wzrosła o 400 proc. w 2017 r. licząc rok do roku.

Malware rozwijało się wraz z branżą IT i zagrożenie nim spowodowane rosło praktycznie z roku na rok. Jednak, mimo iż według Forrester Research do tej pory znalazło się na światowym rynku informatycznym około 2 mln bardziej znanych form malware, zaś liczba tych, które są mniej znane i rozprzestrzeniły się lokalnie, sięgnęła kilkuset milionów, warto przypomnieć te, które swego czasu wywołały pandemie komputerowe lub spowodowały wielkie straty — co zwykle się ze sobą łączy. Okazuje się wtedy, iż nie było ich wiele, ale każdy z nich wskazywał początek nowej epoki w dziedzinie tworzenia złośliwego kodu koni trojańskich lub korzystania z exploitów.

Ewolucja szkodników

Pierwszymi były Walker, Q-Casino, Creeper czy Delyrium. Pochodzące z 1992 r. różniły się stopniem szkodliwości. Q-Casino zmuszający użytkownika do gry w ruletkę o dane zawarte na dysku, zamazujący tablicę alokacji każdego 15 stycznia, kwietnia i sierpnia. Delyrium wyświetlał aplikację pokazującą wstrząsy ekranu, Walker pokazywał sylwetkę chodzącego mężczyzny, Creeper podawał się za nieuchwytny wirus. Ale to m.in. od Q-Casino i jego destrukcyjnego działania rozpoczęła się kariera programów antywirusowych.

Melissa z 1999 r. była jak na dzisiejsze standardy programem mało wyrafinowanym, ale dobrze pokazującym jak destrukcyjne mogą być wirusy. Melissa była wirusem „męskim” , rozsyłała się z adresów znanych ofierze osób (wcześniej komputery musiały być zakażone) jako plik Word w e-mailu, z treścią „Here is that document you asked for ... don't show anyone else ;-)”. Dokument miał zawierać loginy i passwordy do 50 najbardziej znanych stron porno. Były fałszywe, po jego otwarciu instalowało się makro, przejmujące szablon Normal.dot, w MS Word, co pozwalało tworzyć nowe fałszywe dokumenty i rozsyłać je 50 osobom z książki adresowej aplikacji mailowej. Melissa posiadała też funkcjonalności pozwalające na seryjne infekowanie dokumentów i ich przesyłanie. Spowodowała jako pierwsza znaczne straty, bowiem zainfekowała takie firmy jak Microsoft i Intel. Wyliczono je na 1,1 mld USD. Jej twórca David L.Smith, był pierwszym twórcą wyrafinowanego malware złapanym i skazanym na 10 lat bezwzględnego więzienia. Jednak na skutek układu z prokuraturą i wydaniu całego środowiska twórców wirusów z Zachodniego Wybrzeża, wyszedł po 20 miesiącach.

Fizzer i SQL Slammer z 2003 r. były już zupełnie nową generacją malware. Był pierwszym na dużą skalę wirusem — serwerem spamowym. Przejmował kontrolę nad całą pocztą elektroniczną ofiary, rozsyłał na wszystkie adresy z listy kontaktów spam, blokował też serwery. Rozprzestrzeniał się szybko poprzez załącznik e- -maila, posiadał też kilkanaście predefiniowanych treści spamowych i tematów wiadomości.

SQL Slammer jak do tej pory jest rekordzistą w szybkości rozprzestrzeniania. W szczycie ataku podwajał liczbę zainfekowanych maszyn co 8,5 sekundy i zainfekowanie 75 tys. serwerów zajęło mu jedynie około 10 minut. Stało się tak, bowiem wykorzystywał lukę w SQL Server and Desktop Engine bazodanowej aplikacji Microsoftu. Po pierwszych 15 minutach ataku sparaliżował praktycznie internet w USA, generując gigantyczny ruch w sieci. Wyłączył m.in. serwisy Bank of America, serwery obsługujące numer alarmowy 911 w Seattle czy elektrownię atomową w Ohio. Continental Airlines musiały przejść na rezerwacje telefoniczne i w biurach sprzedaży. Straty były podobne jak w przypadku Melissy — wyniosły 1,1 mld USD.

MYdoom, ILOVEYOU i Anna Kournikova pojawiły się rok później. Pierwszy z nich rozprzestrzeniał się najszybciej, używając linii tematu „Error” i „Mail Delivery System”, „test”, „hi”, „hello”, „Mail Transaction Failed”, „Server Report”, „Status”, zainfekował nawet do 25 proc. wszystkich e-maili. Zainfekowane komputery służyły do ataków na inne sieci i maszyny, które przejmowano z fałszywych maili, pochodzących z rzekomych domen największych wytwórców oprogramowania. Celem MYdoom były ataki DOS na, Lycos, Google, AltaVista, SCO i Microsoft przy użyciu zainfekowanych maszyn. Ten prekursor botnetów przypuszczalnie do ich powstania był najdroższym malware w historii — jego ataki miał spowodować 38,5 mld USD strat, ale wyliczenia te są kwestionowane.

W świecie biznesu…

Zeus z 2007 r. jest pierwszym z długiej już dziś listy trojanów bankowych, celowanych w wykradanie loginów i passwordów do banków i serwisów finansowych oraz do kont w tym korporacyjnych jak FTP. Na jego podstawie tworzone były wielkie botnety; pierwszy z nich, którego nadzorującym był Algierczyk Hamza Bendelladj (skazany na 15 lat więzienia w USA, prawdopodobnie był „słupem”, Zeus pochodził bowiem z Ukrainy lub Rosji), pozyskał 74 tys. kont FTP z takich firm jak Amazon, Bank of America i Cisco oraz dane dostępowe do kont klientów indywidualnych i firm, co pozwoliło na kradzież około 70 mln USD.

Operation Aurora — ten kryptonim został nadany przez amerykańskie służby w 2009 r. Obrazuje prawdopodobnie operację chińskiego wywiadu, której celem, poprzez wykorzystanie luki w Internet Explorerze, było zaatakowanie baz danych największych firm IT jak Google, Adobe i Yahoo. Chodziło o kradzież własności intelektualnej. Ewenementem było dość późne odkrycie ataku: stało się to dopiero w zimie 2010 r., kiedy za uruchomienie nieocenzurowanej wersji wyszukiwarki, firmę zmuszono do opuszczenia Chin. Atak spowodował reperkusje międzynarodowe i trwający do dziś okres nieufności w stosunkach USA-Chiny.

…i obronności

Stuxnet z 2010, to nowy typ malware — destrukcyjno-militarny. Stworzony na mocy swoistej joint venture wywiadów armii Izraela i USA miał posłużyć do zdemontowania irańskiego programu wzbogacania uranu, poprzez uszkadzanie wirówek centryfugalnych. Nośnikiem pierwotnym było prawdopodobnie urządzenie USB jednego z pracowników, podejrzewano, że był on agentem zwerbowanym pod fałszywą flagą, rzekomo przez GRU, w rzeczywistości przez Mosad w Iranie. Po instalacji Stuxnet wyszukiwał sterownik częstotliwościowy i zmieniał jego ustawienia i to kilkakrotnie, doprowadzając np. do przyśpieszenia, potem spowolnienia pracy wirówek w zakładzie wzbogacania uranu w Natanz i do ich zniszczenia. Czasowo unieruchomił niemal 1000 z 5000 wirówek i opóźnił irański proces wzbogacania uranu o około 1,5 roku.

Ataki dla dolarów…

CryptoLocker z 2013 r. to pierwsze ransomware, które działało na dużą skalę. Rozprzestrzeniał się poprzez załączniki wiadomości e-mail. Szyfrował dość prosto dyski twarde i żądał za podanie klucza prywatnego 400 USD okupu. Jednak szyfrowanie było na tyle toporne, że zwykłe odszyfrowanie było dość trudne. Jako słabo rozpoznany typ masowego malware zebrał dość liczną rentę pierwszeństwa — 500 tys. zainfekowanych komputerów w 72 godziny. Jewgenij Bogaczew, Rosjanin z ukraińskim paszportem, który kierował siatką zarządzającą ransomware wpadł w 2014 r. w rezultacie polowania na twórców ransomware — Operation Tovar. Siatka CryptoLockera uzyskała 3 mln USD z okupów od ofiar.

Mirai — pierwszy gigantyczny botnet złożony z urządzeń internetu rzeczy (IoT) przyłączonych do internetu, w szczytowym momencie swojego rozwoju miał 13 mln maszyn. Był botnetem nowej generacji — do wynajęcia, do przeprowadzania ataków DDOS i jako taki był nawet dość tani. To Mirai (nazwa powstała od japońskiego słowa oznaczającego przyszłość) stał za atakami na Dyn — providera DNS — oraz Netflixa, Twittera i Reddita. Mirai był tym groźniejszy, że kod aplikacji przejmującej urządzenia, opublikowano na forum hakerskim. Spowodowało to natychmiastowe pojawienie się klonów botnetu, przez co jego destrukcyjny wpływ trwał nawet po zlikwidowaniu Mirai przez policję m.in. hiszpańską i francuską.

…i dla bitcoinów

WannaCry, Petya.A, Netya (NotPetya) to ataki globalne ransomware z 2017 r. Pierwszy objął 230 tys. komputerów w 150 krajach i przyniósł straty wartości około 100 mln USD, ale nie dochodu grupie przestępczej, która ransomware wypuściła. Podobnie z Petya.A, która jest dziełem grupy hakerskiej Janus Cybercrime Solutions. Jednak ta aplikacja była skuteczniejsza. W obu przypadkach atakujący chcieli okupu w bitcoinach (w pierwszym przypadku 150, w drugim 300 BT). Atak zaczął się od udanego zablokowania dwóch ministerstw na Ukrainie, sekretariatu premiera i państwowego koncernu energetycznego UkrEnergo oraz Międzynarodowego Portu Lotniczego Kijiv Boryspil, banki państwowe i prywatne, m.in. Oszadzbank oraz Bank Centralny Ukrainy. Zaatakowane zostały również kijowskie metro, firma usług pocztowych Nowa Poszta, największa ukraińska firma lotnicza — Antonow oraz dystrybutor energii Kievenergo, a pośrednio przez ich klientów firmy rosyjskie m.in. dwa systemy naftowego koncernu Rosnieft oraz Centralnego Banku Rosji, Sbierbank oraz wielki koncern przeróbki metali Ewraz. Drugi wektor ataku był globalny i objął firmy w Wielkiej Brytanii, Indii, Hiszpanii i Holandii. Zablokowany był system informatyczny brytyjskiej firmy marketingowo-reklamowej WPP i jeden największych portów bałtyckich — trzeci co do wielkości przeładunków, port w Göteborgu. Wektorem infekcji były tutaj systemy firmy Maersk, największego światowego przewoźnika kontenerowego. Znane są też polskie ofiary ataku: systemy firmy Raben, Kronospan, InterCars, wrocławskiego producenta słodyczy Mondelez, polskie systemy firmy kurierskiej TNT oraz Saint-Gobain. Wartość ataku wyceniono na około 380 mln USD, ale szacunki te mają być według firm analitycznych zaniżone.

Okiem eksperta

Warto się zatroszczyć o profilaktykę

Karolina Małagocka, ekspert ds. prywatności w firmie F-SecurePierwsze wirusy powstały we wczesnych latach siedemdziesiątych. Na początku rozprzestrzeniały się przez dyskietki, a nastolatki pisały je dla zabawy w piwnicy rodziców. W ciągu ostatnich kilku dekad z niewinnych i nieszkodliwych eksperymentów stały się źródłem dochodów zorganizowanych grup przestępczych, szerząc się za pośrednictwem stron internetowych, reklam, linków czy załączników w e-mailach. Jak powtarzamy to od dobrej dekady, w walce z nim kluczem jest profilaktyka, czyli korzystanie z programów antywirusowych, a także dbanie o odpowiednie nawyki związane z tzw. cyberhigieną. Obejmują one m.in. dokładne czytanie e-maili, nieotwieranie załączników od nieznanych nadawców, a także stosowanie silnych i unikalnych haseł dla każdego serwisu z osobna. Konieczne jest również regularne aktualizowanie systemu oraz oprogramowania, a także pobieranie aplikacji tylko z zaufanych źródeł. Aby nie stracić danych w razie zainfekowania urządzenia, dobrze jest wykonywać regularne kopie zapasowe.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Marek Meissner

Polecane

Inspiracje Pulsu Biznesu