1. Narodziny “haktywizmu”
Wśród osób, które czytają ten artykuł, pewnie trudno będzie znaleźć taką, która nie słyszała o grupie Anonymous, LulzSec czy nawet TeaMp0isoN. W 2011 roku grupy te, wraz z innymi, aktywnie uczestniczyły w różnych operacjach skierowanych przeciwko organom ścigania, bankom, rządom, firmom zajmującym się bezpieczeństwem oraz czołowym producentom oprogramowania antywirusowego. Współpracując ze sobą lub w niektórych przypadkach rywalizując, grupy te okazały się głównymi graczami 2011 r., zdobywając rozgłos poprzez takie incydenty, jak złamanie zabezpieczeń sieci należących do ONZ, agencji wywiadowczej Stratfor, IRC Federal i ManTech (firm pracujących odpowiednio na kontraktach FBI i amerykańskiego Departamentu Obrony) oraz CIA. Co ciekawe, niektóre z tych incydentów, np. włamanie do sieci Stratfor, ujawniły poważne zaniedbania w zakresie bezpieczeństwa, takie jak przechowywanie numerów CVV (kody służące do weryfikacji kart płatniczych) w niezaszyfrowanej formie lub niezwykle słabe hasła stosowane przez administratorów.
Ogólnie można powiedzieć, że haktywizm stanowił jeden z głównych trendów ubiegłego roku i w 2012 r. z pewnością będą miały miejsce podobne incydenty.
2. Atak na HBGary Federal
Incydent, który znalazł się na drugim miejscu jest wprawdzie związany z poprzednim, zasługuje jednak na wyróżnienie. W styczniu 2011 roku hakerzy z grupy Anonymous włamali się do serwera sieciowego HBGary
Federal – hbgaryfederal.com – za pomocą ataku “SQL injection”. Zdołali uzyskać kilka sum kontrolnych MD5 dla haseł należących do dyrektora generalnego firmy, Aarona Barra, oraz dyrektora ds. operacyjnych, Teda Vera. Niestety, oboje stosowali bardzo proste hasła: sześć małych liter oraz dwie cyfry. Hasła te pozwoliły osobom atakującym zdobyć dostęp do dokumentów badawczych firmy oraz dziesiątków tysięcy maili przechowywanych w Google Apps.
Uważam, że incydent ten jest istotny, ponieważ pokazuje, że stosowanie słabych haseł w połączeniu ze starymi systemami oprogramowania plus wykorzystywanie technologii chmury może doprowadzić do katastrofy. Gdyby wspomniani dyrektorzy używali mocnych haseł, prawdopodobnie nic by się nie stało. Podobnie, gdyby włączyli uwierzytelnianie wieloskładnikowe w Google Apps, osoby atakujące nie zdołałyby uzyskać dostępu do konta superużytkownika i skopiować wszystkich maili firmowych. Warto zauważyć, że nawet gdyby zastosowano lepsze środki bezpieczeństwa, nie możemy wykluczyć, że zdeterminowani cyberprzestępcy nie znaleźliby innego sposobu. Upór i determinacja, jak również mnóstwo czasu do dyspozycji, daje atakującym przewagę.
3. Złożone, długotrwałe działania ukierunkowane
Ze złożonymi, długotrwałymi działaniami przeciwko konkretnym osobom lub firmom mieliśmy do czynienia w przypadku ataku, którego ofiarą padła firma RSA, lub incydentów pod intrygującymi nazwami, takimi jak operacje Night Dragon, Lurid oraz Shady Rat. Co ciekawe, w przypadku wielu z tych operacji nie można użyć słowa „zaawansowane”. Z drugiej strony, w wielu przypadkach wykorzystano exploity zero-day, np. podczas ataku na RSA. W tym przypadku, osoby atakujące wykorzystały CVE-2011-0609 – lukę z zabezpieczeniach odtwarzacza Adobe Flash Player – w celu uruchomienia szkodliwego kodu na atakowanej maszynie. Inną interesującą luką zero-day była luka CVE-2011-2462 (w programie Adobe Reader), wykorzystana w atakach ukierunkowanych na firmę ManTech. Ataki te wyróżniają się kilkoma elementami: w wielu przypadkach wykorzystane zostały luki zero-day w oprogramowaniu Adobe; cele wielu ataków znajdowało się w Stanach Zjednoczonych, w szczególności były to firmy współpracujące z amerykańskim wojskiem lub rządem. Wyjątkiem był tu atak Lurid, którego celem były głównie państwa z Europy Wschodniej, takie jak Rosja czy Wspólnota Niepodległych Państw. Ataki te potwierdzają, że szpiegostwo cybernetyczne stanowi powszechną praktykę. Ponadto, wiele z nich wydaje się być powiązanych ze sobą, a ich skutki są poważne i odczuwane globalnie. Na szczególną uwagę zasługuje atak na RSA, ponieważ osoby atakujące ukradły bazę tokenów SecurID, która później została wykorzystana w innym głośnym ataku.
4. Incydenty z udziałem Comodo i DigiNotar
15 marca 2011 roku ofiarą ataku cyberprzestępczego padł jeden z oddziałów Comodo – firmy produkującej oprogramowanie bezpieczeństwa oraz generującej certyfikaty cyfrowe SSL. Osoba atakująca szybko wykorzystała istniejącą infrastrukturę, aby wygenerować dziewięć fałszywych certyfikatów cyfrowych dla stron internetowych, takich jak mail.google.com, login.yahoo.com, addons.mozilla.com oraz login.skype.com. Podczas analizy incydentu firma Comodo zdołała ustalić, że haker przeprowadził atak z adresu IP 212.95.136.18 w Teheranie, w Iranie. Jednak pod względem rozmiaru atak ten był nieporównywalnie mały w stosunku do incydentu, którego ofiarą padł DigiNotar. 17 czerwca 2011 r. cyberprzestępcy zaczęli majstrować przy serwerach DigiNotar i w ciągu następnych pięciu dni zdołali
uzyskać dostęp do jego infrastruktury i wygenerować ponad 300 fałszywych certyfikatów. Haker zostawił wiadomość w postaci cyfrowego certyfikatu zawierającego tekst w języku perskim: „Great hacker, I will crack all encryption, I break your head!” Na potwierdzenie tropu irańskiego kilka dni później certyfikaty te zostały wykorzystane w ataku „man-in-the-middle” na ponad 100 000 użytkowników Gmaila z Iranu.
Ataki na Comodo i DigiNotar sprawiły, że zaufanie do centrów certyfikacji spadło. W przyszłości ataki na takie instytucje mogą być bardziej rozpowszechnione. Ponadto, istnieje prawdopodobieństwo, że pojawi się więcej szkodliwych programów z podpisem cyfrowym.
5. Duqu
W czerwcu 2010 roku analityk Sergiej Ulasen z białoruskiej firmy VirusBlokada odkrył interesujący szkodliwy program, który zdawał się wykorzystywać skradzione certyfikaty do podpisu swoich sterowników oraz exploita zero-day wykorzystującego pliki .lnk w celu replikacji w typowy sposób opierający się na funkcji Autorun. Szkodnik ten – stanowiący robaka komputerowego o bardzo specyficznej szkodliwej funkcji wymierzonej bezpośrednio przeciwko irańskiemu programowi nuklearnemu – stał się znany na całym świecie pod nazwą Stuxnet. Robak “porwał” programowalne sterowniki Siemensa w irańskiej elektrowni w Natanz i przeprogramował je w bardzo specyficzny sposób, wskazujący na jeden cel: sabotaż procesu wzbogacania uranu w Natanz. Gdy zobaczyłem wtedy kod przeprogramowujący sterowniki odpowiedzialne za kontrolę wirówek w elektrowni pomyślałem, że nie można napisać czegoś takiego bez dostępu do oryginalnych schematów oraz kodu źródłowego. Ale w jaki sposób osoby atakujące mogły zdobyć tak poufne informacje, jak specyficzny kod kontrolujący wartą miliard dolarów elektrownię?
Jedną z możliwych odpowiedzi kryje trojan Duqu. Stworzony przez tę samą grupę osób, które stały za Stuxnetem, Duqu został wykryty w sierpniu 2011 roku przez węgierskie laboratorium badawcze CrySyS. Początkowo, nie było wiadomo, w jaki sposób Duqu infekował swoje cele. Później ustalono, że Duqu przenikał do systemu za pośrednictwem szkodliwych dokumentów Word wykorzystujących lukę CVE-2011-3402.
Duqu został stworzony w zupełnie innym celu niż Stuxnet. Trojan ten to w rzeczywistości wyrafinowany zestaw narzędzi do przeprowadzania ataków, który może zostać wykorzystany do włamania się do systemu, a następnie systematycznego „wysysania” z niego informacji. Nowe moduły mogą być ładowane i uruchamiane w locie, nie zajmując miejsca w systemie plików. Wysoce modułowa architektura, w połączeniu z niewielką liczbą ofiar na całym świecie, sprawiły, że Duqu pozostał niewykryty przez lata. Pierwszy ślad aktywności związanej z Duqu, który udało nam się znaleźć, pochodzi z sierpnia 2007 roku. We wszystkich przeanalizowanych przez nas incydentach osoby atakujące wykorzystały infrastrukturę zhakowanych serwerów, aby przenieść dane z komputerów ofiar (w niektórych przypadkach były to setki megabajtów).
Duqu i Stuxnet stanowią najwyższy poziom zaawansowania w dziedzinie broni cybernetycznej i zapowiadają początek ery zimnej cyberwojny, w której supermocarstwa walczą ze sobą nieskrępowane żadnymi ograniczeniami typowymi dla wojen toczonych w realnym świecie.
6. Atak na Sony PlayStation Network
19 kwietnia 2011 roku firma Sony odkryła, że jej sieć PlayStation Network (PSN) padła ofiarą ataku hakerskiego. Na początku firma wstrzymywała się z wyjaśnieniem, co się stało, i utrzymywała, że usługa, która została zawieszona 20 kwietnia, zostanie przywrócona za kilka dni. Dopiero 26 kwietnia firma przyznała, że w wyniku incydentu zostały skradzione informacje osobiste, które mogą zawierać numery kart kredytowych. Trzy dni później pojawiły się doniesienia, że na forach hakerskich ktoś oferuje sprzedaż 2,2 milionów numerów kart kredytowych. 1 maja serwis PSN nadal był niedostępny, co dodatkowo nasiliło frustrację wielu użytkowników, którzy nie mogli zagrać w gry, za które już zapłacili. W październiku 2011 r. pojawił się kolejny skandal z PSN w tle. Tym razem okazało się, że Sony musi zamknąć 93 000 zhakowanych kont, aby zapobiec dalszym nadużyciom.
Atak hakerski na PSN firmy Sony stanowi jeden z najważniejszych incydentów 2011 roku, ponieważ pokazuje, między innymi, że w erze technologii opartych na chmurze informacje osobiste są przechowywane w jednym miejscu i są dostępne za pośrednictwem szybkich łączy internetowych, a tym samym – niestety – można je łatwo ukraść w przypadku błędnej konfiguracji lub incydentu naruszenia bezpieczeństwa. W 2011 roku, w czachach chmury, kilkadziesiąt milionów nazw użytkowników oraz kilka milionów kart kredytowych zaczęto traktować jako typową „zdobycz” w ataku cyberprzestępczym.
7. Walka z cyberprzestępczością i dezaktywacja botnetów
O ile hakerzy odpowiedzialni za incydent PSN nadal nie zostali zidentyfikowani, rok 2011 z pewnością można określić jako zły dla wielu cyberprzestępców: którzy zostali złapani i aresztowani przez organy ścigania na całym świecie. Przykładem mogą być aresztowania gangu odpowiedzialnego za ZeuSa, rozbicie gangu stojącego za trojanem DNSChanger, jak również dezaktywacja botnetów Rustock, Coreflood oraz Kelihos/Hilux. Wydarzenia te sygnalizują nowy trend: rozbicie gangu cyberprzestępczego istotnie przyczynia się do ograniczenia aktywności przestępczej na całym świecie, wysyłając jednoznaczny komunikat pozostałym gangom, że ich działalność nie jest już wolna od ryzyka. W tym miejscu warto wspomnieć o dezaktywacji botnetu Kelihos, dokonanej przez Kaspersky Lab we współpracy z działem Microsoftu zajmującym się zwalczaniem przestępczości cyfrowej.
Kaspersky Lab zainicjował tzw. operację leja (ang. sinkhole) dla botnetu, odłączając dziesiątki tysięcy zainfekowanych użytkowników dziennie. Operacja ta ujawniła jedną istotną kwestię: wiedząc, jak wygląda proces aktualizacji bota, Kaspersky Lab lub organy ścigania mogły zainstalować program na komputerach wszystkich zainfekowanych użytkowników, powiadamiając ich o tym, a nawet automatycznie wyleczyć ich maszyny. W sondażu przeprowadzonym na stronie SecureList przeważająca większość użytkowników (83%), stwierdziła, że Kaspersky Lab powinien “zainstalować narzędzie, które usunęłoby infekcje”, mimo że w wielu krajach jest niezgodne z prawem. Z oczywistych powodów nie zrobiliśmy tego. Cały incydent podkreśla ogromne ograniczenia współczesnej legislacji w przypadku przeprowadzania globalnych operacji mających na celu efektywne zwalczanie cyberprzestępczości.
8. Gwałtowny wzrost liczby zagrożeń dla Androida
W sierpniu 2010 r. zidentyfikowaliśmy pierwszego trojana dla platformy Android – Trojan-SMS.AndroidOS.FakePlayer.a, który ukrywał się pod postacią aplikacji odtwarzającej multimedia. Niecały rok później liczba szkodliwych programów dla Androida gwałtownie wzrosła, czyniąc z systemu Google’a najpopularniejszą platformę mobilną wśród cyberprzestępców. Trend ten stał się wyraźny w trzecim kwartale 2011 r., w którym pojawiło się ponad 40% wszystkich mobilnych zagrożeń wykrytych w ciągu całego roku. Masa krytyczna została osiągnięta w listopadzie 2011 r., gdy wykryliśmy ponad 1 000 szkodliwych programów dla Androida – to prawie tyle, ile wynosi łączna liczba mobilnych zagrożeń zidentyfikowanych przez sześć ostatnich lat!
Mobilny system operacyjny Google’a stał się atrakcyjny dla cyberprzestępców z kilku powodów, a przede wszystkim w związku z gwałtownym wzrostem jego popularności na rynku smartfonów, tabletów i innych urządzeń (na przykład odtwarzaczy multimedialnych i telewizorów). Drugim ważnym czynnikiem jest to, że dokumentacja dla platformy Android jest powszechnie dostępna, w wyniku czego stworzenie szkodliwego programu jest stosunkowo łatwe. Ostatecznie, wielu analityków niezbyt pochlebnie ocenia mechanizmy kontroli stosowane w Android Markecie, które umożliwiają cyberprzestępcom umieszczanie tam szkodliwych aplikacji. Wystarczy spojrzeć na liczby – dotychczas zidentyfikowaliśmy tylko dwa szkodliwe programy dla iPhone’a, podczas gdy znamy już ponad 2 000 trojanów dla Androida.
9. Incydent z CarrierIQ
CarrierIQ to mała prywatna firma założona w 2005 r. w Mountain View w Kalifornii. Na swojej stronie firma informuje, że jej oprogramowanie działa na ponad 140 milionach urządzeń na całym świecie. Chociaż oficjalnym celem CarrierIQ jest gromadzenie informacji “diagnostycznych” z terminali mobilnych, analityk bezpieczeństwa Trevor Eckhart wykazał, że zakres danych zbieranych przez CarrierIQ wykracza poza deklarowany cel “diagnostyczny” i obejmuje również rejestrowanie wciskanych klawiszy i monitorowanie adresów URL otwieranych na urządzeniu mobilnym. CarrierIQ jest zbudowany na typowej architekturze Command and Control, w której administratorzy systemu mogą ustalić, jaki rodzaj informacji jest zbierany z telefonów oraz jakie informacje są wysyłane “do domu”. Faktem jest, że CarrierIQ gromadzi wiele informacji z telefonu komórkowego, nie musi to jednak oznaczać, że taka praktyka jest zła, a przynajmniej tak twierdzą twórcy tego oprogramowania lub firmy, takie jak HTC, które wspierają wykorzystywanie CarrierIQ. Jako firma posiadająca siedzibę w Stanach Zjednoczonych CarrierIQ mógłby zostać zmuszony do ujawnienia wielu zgromadzonych informacji amerykańskim organom ścigania na podstawie nakazu sądowego. Dzięki tej luce prawnej CarrierIQ mógłby stać się rządowym narzędziem szpiegującym i monitorującym. Wielu użytkowników postanowiło nie ryzykować i pozbyć się CarrierIQ ze swojego telefonu. Niestety, nie jest to łatwy proces. Co więcej inaczej wygląda w przypadku iPhonów, telefonów z Androidem oraz BlackBerry. W przypadku Androida, niezbędne może okazać się „zrootowanie” telefonu. Z drugiej strony, wielu użytkowników wybrało opcję zainstalowania specjalnego firmware’u dla Androida, takiego jak Cyanogenmod.
Incydent z CarrierIQ pokazuje, że jesteśmy całkowicie nieświadomi, co dokładnie kryje się w naszych urządzeniach mobilnych lub w jakim stopniu operator telefonu komórkowego kontroluje sprzęt użytkownika.
10. Zagrożenia dla Mac OS X
Chociaż jestem świadomy, że narażam się już samym faktem mówienia o szkodliwym oprogramowaniu dla systemu Mac OS X, uważam, że nie należy ignorować tego zagrożenia. W maju 2011 roku pojawiły się i szybko zyskały popularność produkty o nazwach MacDefender, MacSecurity, MacProtector czy MacGuard, które stanowią fałszywe programy antywirusowe dla Mac OS. Rozprzestrzeniane za pośrednictwem technik czarnego SEO w wynikach wyszukiwania w Google, programy te wykorzystują socjotechnikę w celu skłonienia użytkowników do pobrania, zainstalowania, a następnie zapłacenia za “pełną” wersję. Większość z tych, którzy zdecydowali się zapłacić 40 dolarów za rzekomo pełną wersję, odkryło później, że w rzeczywistości zapłaciło 140 dolarów, a czasami nawet kilkakrotnie więcej. Przechodzenie zagrożeń dla komputerów PC (fałszywe programy antywirusowe to tylko jedna z najpopularniejszych kategorii szkodliwego oprogramowania dla komputerów PC) na komputery Mac stanowi istotny trend 2011 roku. Oprócz fałszywych programów antywirusowych dla Mac OS, na szczególną uwagę zasługuje również rodzina trojanów DNSChanger. Te niewielkie trojany zidentyfikowane w 2007 roku dokonują bardzo prostego i bezpośredniego ataku na system poprzez zmianę ustawień DNS, w efekcie którego wskazują na prywatne serwery DNS cyberprzestępców, a następnie odinstalują się.
W ten sposób użytkownik może zostać zainfekowny trojanem DNSChanger, szkodnik może zmienić jego ustawienia DNS, a mimo to być przekonanym, że w jego komputerze nie ma żadnego szkodliwego oprogramowania; w rzeczywistości jednak przestępcy zmieniają komunikację DNS w taki sposób, że użytkownik odwiedza fałszywe strony i wykonuje fałszywe kliknięcia oraz przeprowadza ataki man-in-the-middle. Na szczęście, w listopadzie 2011 roku FBI aresztowało sześciu Estończyków, którzy tworzyli gang odpowiedzialny za szkodliwe oprogramowanie DNSChanger. Według danych FBI, w ciągu minionych czterech lat gang ten zainfekował ponad cztery miliony komputerów w ponad 100 krajach i zarobił około 14 milionów dolarów w nielegalnych zyskach. Incydenty te pokazują, że szkodliwe oprogramowanie dla Mac OS jest równie realnym zagrożeniem co szkodliwe oprogramowanie dla komputerów PC i nawet nowoczesne praktyki bezpieczeństwa zawodzą w obliczu dobrze przemyślanych metod socjotechniki. Nie ma wątpliwości, że w przyszłości obie te platformy będą atakowane.
Podsumowując, dziesięć przedstawionych incydentów to jedynie wierzchołek góry lodowej przypadków naruszenia bezpieczeństwa w 2011 roku. Wybrałem je dlatego, że pozwalają wskazać głównych aktorów 2011 roku, którzy bez wątpienia nadal będą grali główne role w nadchodzącym czasie. Są to grupy haktywistów, firmy z branży bezpieczeństwa, złożone, długotrwałe działania przeciwko konkretnym osobom lub firmom podejmowane przez supermocarstwa walczące ze sobą przy użyciu cyberszpiegostwa, czołowi producenci oprogramowania i gier, tacy jak Adobe, Microsoft, Oracle oraz Sony, organy ścigania, tradycyjni cyberprzestępcy, Google (za sprawą systemu operacyjnego Android) oraz Apple (dzięki platformie Mac OS X). Związki między tymi graczami mogą być skomplikowane, dramatyczne, zawierać mnóstwo tajnych szczegółów i być tak mroczne jak odcinek serialu Dexter. Jednej rzeczy możemy być pewni – w 2012 roku w sadze na temat bezpieczeństwa zostaną obsadzone te same gwiazdy.
Autor: Costin Raiu, Dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab
