Podczas gdy Eugene jest zajęty robieniem zakładów, ja postanowiłem zastanowić się chwilę nad sprawą Winlock.

Rosyjskie organy ścigania szacują, że cyberprzestępcy mogli zgarnąć nawet 1 miliard dolarów. Chociaż trudno jednoznacznie podać dokładną kwotę (naturalnie cyberprzestępcy rozdzielili pieniądze na kilka różnych kont, aby nie zwracać na siebie uwagi), z prostego rachunku wynika, że suma ta nie jest tak nieprawdopodobna jak mogłoby się wydawać.

Z naszych statystyk wynika, że zainfekowanych mogło być około miliona osób. 10 cyberprzestępców, z których każdy dostał swoją dolę z okupu wynoszącego od 10 do 30 dolarów – nawet jeżeli cyberprzestępcy płacili 3 dolary od infekcji osobom, które zgodziły się rozprzestrzeniać tego szkodnika, po zliczeniu wychodzi całkiem spora sumka do podziału.

Naturalnie, aresztowane osoby nie były jedynymi zamieszanymi w całą sprawę. Sporą rolę odegrali również dostawcy usług telefonicznych oraz dostawcy zawartości: ci pierwsi przydzielili krótkie numery dostawcom zawartości, drudzy wysłali kody odblokowujące. W zamian za te „usługi” dostali część opłat za SMS-y: odpowiednio około 50% i 20%.

Cała sprawa zwraca uwagę na kilka kwestii legislacyjnych, które musimy rozwiązać, jeżeli chcemy poważnie traktować cyberprzestępczość. Większość ofiar znajduje się w państwach byłego bloku radzieckiego, gdzie bardzo łatwo można zarejestrować numer o podwyższonej opłacie – nie trzeba okazywać żadnego dokumentu identyfikacyjnego ani nawet podpisywać umowy. Nic zatem dziwnego, że przestępcy aktywnie wykorzystują tę sytuację.

Jest jeszcze kwestia dostawców zawartości, dzięki którym możemy pobierać muzykę, gry itd., wysyłając wiadomości na numery o podwyższonej opłacie. Obecnie organy ścigania badają ich rolę w tej sprawie: podejrzewa się, że mogli kryć twórców szkodliwego oprogramowania w zamian za część zysków. Nie wystarczy jednak, że prokuratorzy są przekonani o winie dostawców zawartości, muszą to jeszcze udowodnić. A do tego potrzebne jest czyjeś przyznanie się do winy lub znalezienie szkodliwego kodu źródłowego na serwerach dostawców.

Mamy nadzieję, że w tej sprawie zapadną wysokie wyroki, jednak nie jesteśmy zbyt optymistyczni co do wyniku. Będziemy informowali was na bieżąco.

Działalność grup cyberprzestępczych odpowiedzialnych za infekcje fałszywymi programami antywirusowymi (ang. scareware/rogueware) została w ostatnich kilku latach poważnie zahamowana.

Niektóre grupy aresztowano. Inne musiały zaprzestać swojej działalności. Jeszcze inne zwróciły na siebie za dużą uwagę, zagarnęły to, co było najłatwiejsze do zagarnięcia, a następnie wycofały się ze swoich botnetów.
W niektórych przypadkach grupy te nie miały wystarczających umiejętności w rozwijaniu technik zwalczania oprogramowania antywirusowego, blackhat SEO oraz rozprzestrzeniania szkodliwego oprogramowania. Nie potrafiły dotrzymać tempa zmian w technologiach antywirusowych, nie chciały wkładać niezbędnego wysiłku i po prostu odpadły.

Jednak niektóre z pozostałych gangów zajmujących się rozprzestrzenianiem oprogramowania scareware podniosły stawkę i agresywnie rozwijają trudne do wykrycia instalatory polimorficzne oraz trudne do usunięcia komponenty wspierające. Najnowsze z tych komponentów obejmują jedne z pierwszych stanowiących poważne zagrożenie 64-bitowe komponenty szkodliwego oprogramowania na wolności. Jednak program scareware sam w sobie pozostał w głównej mierze niezmieniony. Proces rozwoju tego rodzaju oprogramowania nadal zmienia się i postępuje, jednak celem tej ewolucji jest uniknięcie wykrycia przez rozwiązania antywirusowe i nakłanianie użytkownika do zapłacenia za fałszywy produkt, między innymi za pomocą komponentów wspierających/rootkit, takich jak TDSS lub nowsze komponenty wspierające/rootkit Black Internet (znany również jako Trojan-Clicker.Win32.Cycler). Te złożone infektory Mbr oraz inne komponenty rootkit stworzone w celu utrzymania oprogramowania scareware, służącego do zarabiania pieniędzy, w systemie, świadczą o nieco ekstremalnym podejściu do tworzenia szkodliwego oprogramowania.

Z drugiej strony, komercyjne zestawy exploitów wykorzystywane przez różne ugrupowania cyberprzestępcze do rozprzestrzeniania oprogramowania rogueware nie stały się bardziej złożone. Wręcz przeciwnie, z rynku online zniknęły niektóre bardziej złożone zestawy exploitów, pozostały natomiast te prostsze, takie jak Eleonore czy Phoenix. Technologie wykorzystywania luk, shellcode, szyfrowania oraz unikania wykrycia są w większości przeciętne i dość statyczne. Spora część procesu rozprzestrzeniania szkodliwego oprogramowania opiera się na bardzo prostym wykorzystywaniu istniejącej technologii, a nie tworzeniu nowej. Zasadniczo chodzi o wykorzystanie środowiska, aby skłonić użytkownika do uruchomienia pliku wykonywalnego w systemie, któremu nie powinien ufać.

O czym to świadczy? W dużej mierze skuteczne wprowadzenie szkodliwego oprogramowania do systemów użytkowników końcowych nadal wymaga prostych, niedrogich metod. To sugeruje jedną z poniższych możliwości:

1. Użytkownicy końcowi nie łatają swoich maszyn.
2. Luki w zabezpieczeniach nie są identyfikowane i wystarczająco szybko łatane lub narzędzia automatycznej aktualizacji nie działają wystarczająco szybko.
3. Zbyt wielu użytkowników końcowych korzysta z systemów bez skutecznej ochrony.

Dlaczego tak się dzieje. Istnieje wiele powodów. Jednym z nich jest racjonalne odrzucanie zaleceń dotyczących bezpieczeństwa – użytkownicy uważają, że wysiłek związany ze zwiększaniem świadomości o zagrożeniach oraz aktualizacją systemów jest zbyt duży w porównaniu z ryzykiem infekcji. Innym powodem mogą być polityki sieciowe ustalane przez działy IT lub inne osoby. Być może problem wynika z ogólnego niezrozumienia potrzeb bezpieczeństwa i niewiedzy odnośnie aktualizacji oprogramowania. A może niektóre rodzaje produktów bezpieczeństwa nie są szczególnie skuteczne jeżeli chodzi o powstrzymywanie szkodliwego oprogramowania przed wniknięciem do systemu. Najprawdopodobniej jednak w grę wchodzą wszystkie te czynniki razem wzięte.

Cyberprzestępcy włączają złożone mechanizmy do swojego oprogramowania, kiedy jest taka potrzeba, dlatego wzrastający poziom złożoności ich „narzędzi wspierających”, takich jak komponenty rootkit, przy jednoczesnym upraszczaniu technologii dostarczania szkodników świadczy o tym, że najlepsze rozwiązania zapobiegające exploitom drive-by oraz rozprzestrzenianiu szkodliwego oprogramowania nadal nie są w pełni wykorzystywane.

Owoc, po który najłatwiej sięgnąć, zawsze jest zrywany jako pierwszy.

Twitter w końcu wyłączył podstawowe uwierzytelnienie dla aplikacji niezależnych twórców, wprowadzając obsługę protokołu autoryzacji OAuth dla wszystkich aplikacji. Posunięcie to powinno zadowolić wszystkich, którzy przejmują się bezpieczeństwem swojego konta na Twitterze.

Celem tego działania było wyeliminowanie potencjalnego zagrożenia związanego z procesem nadawania dostępu do odczytu/zapisu aplikacjom niezależnych twórców, który mógł prowadzić do włamań na konta twitterowe. Teraz nie musimy już podawać nazwy użytkownika ani hasła twórcom niezależnych aplikacji, gdy chcemy korzystać z takich aplikacji na naszym koncie na Twitterze.

Jako osoba, której leży na sercu bezpieczeństwo, pochwalam decyzję o dodaniu obsługi OAuth na Twitterze. Dzięki temu mogę korzystać z aplikacji bez konieczności udostępniania nieznanej organizacji nazwy użytkownika i hasła. Hylę czoła również przed wszystkimi twórcami aplikacji, którzy uaktualnili je na czas i sprawili, że ta zmiana nie spowodowała użytkownikom większych niedogodności.

Trzeba jednak pamiętać, że OAuth nie chroni przed atakami lokalnymi – kradzieżą haseł bezpośrednio z komputerów użytkowników. Dlatego gdy logujecie się na Twitterze, dopilnujcie, aby wasz komputer nie był zainfekowany. Zachęcam do przeczytania mojego krótkiego przewodnika na Threatpost. pt. Co robić, aby nikt nie włamał się na Twoje konto na Twitterze (w języku angielskim).

Kilka interesujących informacji na temat trojana SMS o nazwie Blockers (Winlock itd.). Tego rodzaju programy blokują system Windows i żądają okupu w postaci wiadomości tekstowej wysyłanej na krótki numer. Obecnie jest to bardzo popularna metoda wymuszania okupu, zarówno w Rosji jak i kilku innych państwach.

Cała sprawa trafiła już do rosyjskiego prokuratora generalnego – sprawcy zostali zidentyfikowani i zatrzymani (a przynajmniej tak się wydaje) i wkrótce będą sądzeni w Moskwie.

Szacuje się, że przestępcy zarobili na tym procederze 790 000 rubli (25 tysięcy dolarów). Co więcej, wyrządzili inne szkody, blokując lub powodując awarię nieznanej jeszcze liczby komputerów osobistych lub firmowych. W wielu przypadkach konieczne było przeinstalowanie systemu oraz oprogramowania, a następnie przywrócenie danych z kopii zapasowej – nawet po zapłaceniu okupu.

Ja jednak chciałbym skoncentrować się na wyniku - lub raczej możliwym wyniku tego przestępstwa, nie na samym śledztwie, aresztowaniach i tak dalej.

Nie jest to pierwsza sprawa sądowa w Rosji o przestępstwo komputerowe. Nie da się zaprzeczyć, że występują kradzieże, czasami ich sprawcy zostają złapani, czasami stają nawet przed sądem – i to nie tylko pod zarzutem tworzenia, wykorzystywania i rozprzestrzeniania szkodliwego oprogramowania, ale również innych, poważniejszych, takich jak oszustwo. Za to ostatnie można dostać do 10 lat pozbawienia wolności – jeżeli mamy do czynienia z grupą, a skradziona kwota była „wyjątkowo wysoka” (jak na rosyjskie standardy).

Jeżeli mamy do czynienia z przestępstwem popełnionym w świecie realnym, nie „wirtualnym”, i w grę wchodzą setki tysięcy rubli (co stanowi równowartość dziesiątek tysięcy dolarów) – sprawcy zwykle idą na kilka lat za kratki. Jednak w przypadku przestępstw komputerowych, zazwyczaj dostają niewielką karę.

Nie mam pojęcia, czym kierują się sędziowie, jednak w większości przypadków, zarówno w Rosji jak i na całym świecie, cyberprzestępcy dostają bardzo łagodne wyroki, nie wspominając już o karze pozbawienia wolności. Bez znaczenia jest fakt, że w grę mogą wchodzić ogromne pieniądze, często o wiele większe niż w przypadku oszustw w „realnym świecie”.
Czyżby sędziom było żal dzieciaków skryptowych? A może uważają, że pieniądze przelewane za pośrednictwem Internetu nie są prawdziwymi pieniędzmi lub że cyberprzestępczość nie jest „prawdziwym” przestępstwem?

Nie wiem… podejrzewam jednak, że tym razem będzie tak samo – przestępcy dostaną łagodną karę, detektywi i prokuratorzy będą niezadowoleni, a moi analitycy znów do mnie przyjdą i powiedzą „wygląda na to, że wybraliśmy nieodpowiednią branżę”. Za każdym razem, gdy moi ludzie biorą udział w dochodzeniu w sprawie cyberprzestępczości, które nie kończy się surowszym wyrokiem – tracą motywację. Czy można im się dziwić?

Zastanawiam się, czy nie zorganizować zakładów o wynik sprawy Winlock. Sprawcy:

1. nie otrzymają żadnej kary – żadnego wyroku pozbawienia wolności
2. dostaną 2 lata więzienia w zwieszeniu
3. dostaną 3 lata w zawieszeniu
4. dostaną 1 rok pozbawienia wolności
5. dostaną 2 lub więcej lat pozbawienia wolności

Stawiam na opcję 3.

PS Ciąg dalszy historii… Dochodzeniem w związku z tą sprawą został objęty główny rosyjski dostawca zawartości.

PPS Więcej informacji – historia rozwija się. W Moskwie aresztowano 10 osób. Gang działał od około roku. Według policji, przestępcy mogli zarobić ponad 500 milionów rubli (około 16 milionów dolarów).

Nie jest tajemnicą, że cyberprzestępcy atakują wszystko i wszystkich bez wyjątku. W Kaspersky Lab wiemy, że wielu administratorów IT nie przejmuje się swoimi zasobami internetowymi. Smutne, ale prawdziwe – gdy zapytacie administratora, czy jego serwery są zabezpieczone, często usłyszycie: „Ale komu jest potrzebny mój serwer SQL?”

Kilka miesięcy temu rozstawiliśmy nową pułapkę honeypot (http://www.mwcollect.org) w naszym japońskim centrum badawczym w Tokio. Honeypot jest wykorzystywany głównie do przechwytywania szkodliwych plików wykonywalnych dla Windowsa poprzez emulowanie shellcode po znalezieniu exploitów sieciowych. Dodatkową zaletą wykorzystywania pułapek honeypot do nasłuchiwania na wszystkich portach jest to, że otrzymujemy statystyki (jak również nieoczekiwane dane) odnośnie różnych portów sieciowych hosta, który posiada globalny adres IP.

Poniższy wykres pokazuje liczbę ataków i niechcianych połączeń na określonych portach naszego serwera. Pokazuje dziesięć najczęściej wykorzystywanych portów. Jednak nawet najmniej atakowany port (w tym przypadku port 1130) otrzymuje około 16 połączeń dziennie.

Poniżej tabela pokazująca powszechne usługi z wykorzystaniem każdego portu:

Mamy nadzieję, że dane te będą potwierdzeniem tego, co dla nas jest oczywiste – w Internecie są osoby, które polują na twój serwer SQL! (A przy okazji również kilka innych rzeczy…) Powyższe dane pokazują, że jest wielu szkodliwych użytkowników, którzy szukają w Internecie „osieroconych hostów z otwartymi drzwiami”. Niektórzy z nich próbują znaleźć backdoora Backdoor.Win32.Noknok, inni - włamywać się poprzez legalne usługi takie jak Radmin i Windows Remote Desktop.

Zastanawiasz się, kto poluje na słabo chronione zasoby? Poniżej kolejny wykres, pokazujący, ile połączeń z różnych krajów jest nawiązywanych z naszym honeypotem dziennie:

Porównajcie go spokojnie z poprzednim wykresem. Z pewnością zauważyliście, że liczba prób ataków MSSQL odzwierciedla ataki pochodzące z Chin. Niedawno hosty w Korei Południowej były wykorzystywane w masowej próbie wykorzystania tej usługi.

Z pomocą honeypota możemy uzyskać cenne dane; ich analiza dostarcza nam mnóstwo pracy; poza tym jest to niedroga forma rozrywki. Nasz honeypot działa na procesorze 500MHz Pentium III z 384 Mb pamięci RAM, co dzisiaj prawdopodobnie kosztuje mniej niż 100 dolarów. Tak więc, jeżeli myślisz o wyrzuceniu starego, wolnego sprzętu, zastanów się nad honeypotem! ;-)

Gdy mówimy o państwach, w których tworzy się najwięcej szkodliwego oprogramowania, w czołówce zawsze znajduje się Rosja, Chiny i Brazylia. Teraz jednak w pierwszej piątce zaczyna pojawiać się nowe państwo - Meksyk.

W naszej miesięcznej analizie szkodliwego oprogramowania w Ameryce Łacińskiej, opublikowanej na stronie Viruslist i Threatpost (obie w języku hiszpańskim), wspominaliśmy już, że Meksyk jest znany z tworzenia lokalnych botnetów.

21 sierpnia Kaspersky Lab wykrył nowego robaka dla komunikatorów internetowych, który rozprzestrzenia się za pośrednictwem prawie wszystkich popularnych komunikatorów, takich jak Skype, GTalk, Yahoo Messenger i Live MSN Messenger. Zagrożenie nosi nazwę: “IM-Worm.Win32.Zeroll.a”

Szkodnik „mówi” w 13 różnych językach (łącznie z hiszpańskim i portugalskim), w zależności od lokalnego języka zainfekowanego komputera z systemem Windows. Pewne elementy wskazują, że robak ten pochodzi z Meksyku. Został napisany w języku VB, a centrum kontroli jest zlokalizowane na kanale IRC (stara technika botnetowa poddana „recyclingowi” przez meksykańskich koderów).

Nasze statystyki wygenerowane przez system KSN pokazują, że największe infekcje zostały odnotowane w Meksyku i Brazylii.

Wygląda na to, że cyberprzestępcy stojący za tym robakiem znajdują się teraz na pierwszym etapie przestępstwa – zainfekowanie jak największej liczby komputerów, aby mieć później „dobre” oferty dla innych przestępców: pay per install, spam oraz inne.

Warto wspomnieć, że tylko trzy programy antywirusowe (w tym firmy Kaspersky Lab) wykrywają to zagrożenie.

Twórcy szkodliwego oprogramowania regularnie opracowują nowe ataki - jednak branża antywirusowa równie często rozwija nowe techniki ochrony. Jedną z nowszych technologii ochrony są białe listy - obecnie standard w produktach bezpieczeństwa internetowego. Brzmi optymistycznie, ale jak to działa? Czy przeciąża komputer? W jaki sposób twórcy mogą umieszczać swoje programy na białych listach? Czy białe listy zastąpią inne technologie ochrony?

Wraz z Andrey’em Nikishinem, dyrektorem badań dot. chmury i technologii zawartości, oraz Vladimirem Zapolyanskym, menedżerem ds. białych list wyjaśniamy, jak działają białe listy. Powiemy również, w jaki sposób twórcy oprogramowania mogą wziąć udział w naszym programie i jakie mogą mieć z tego korzyści.

Wygląda na to, że BBC znów zagłębiło się w świat szkodliwego oprogramowania. Brytyjska stacja poinformowała, że stworzyła aplikację dla smartfonów potrafiącą szpiegować działania użytkownika zainfekowanego urządzenia.

Czytelnicy być może przypominają sobie inną akcję tej organizacji. BBC wywołało zadziwienie w marcu 2009 roku, gdy "nabyło" botnet. Niedługo potem zakupiło informacje osobowe, łącznie z numerami kart kredytowych, od "brokera" takich danych w Indiach.

Nie można tu mówić o żadnym naruszeniu prawa - BBC nie rozpowszechniło swojej aplikacji. Uważamy jednak, że takie działania są nieetyczne i niemądre. I bez tego jest już wystarczająco dużo szkodników - nie ma potrzeby tworzenia kolejnego szkodliwego, lub potencjalnie szkodliwego kodu, nawet w zupełnie niewinnym celu - o czym świadczy post Denisa.

Tytuł mówi sam za siebie. Trojan-SMS.AndroidOS.FakePlayer.a podszywa się pod odtwarzacz multimedialny. Po tym, jak użytkownik wyrazi zgodę na zainstalowanie tej aplikacji, na liście aplikacji pojawi się poniższa ikonka o nazwie "Movie Player":

Szkodnik wysyła SMS-y na dwa numery o podwyższonej opłacie, 3353 i 3354, przy czym każda wiadomość kosztuje średnio 5 dolarów. Robi to ukradkowo, nie wymagając potwierdzenia przez właściciela urządzenia.

Podczas instalacji użytkownik jest proszony o pozwolenia aplikacji na zmianę lub usuwanie danych karty pamięci, wysyłanie SMS-ów i czytanie danych dotyczących telefonu oraz identyfikatora telefonu. Jest to wyraźna czerwona lampka ostrzegawcza – dlaczego zwykły odtwarzacz multimedialny wymaga zgody na wysyłanie wiadomości SMS? – każdy, kto jest uważny podczas procesu instalacji, natychmiast nabierze podejrzeń.

Dotykamy tu ważnego problemu: podczas instalacji nowego programu powinniśmy zwracać uwagę, do jakich usług aplikacja żąda dostępu. Automatyczne zezwolenie nowej aplikacji na uzyskiwanie dostępu do każdej usługi, grozi tym, że na urządzeniu zostaną zainstalowane szkodliwe i niechciane aplikacje wykonujące szereg różnych działań bez żądania dodatkowego potwierdzenia. A wszystko to bez wiedzy użytkownika.

Trojan-SMS.AndroidOS.FakePlayer.a jest istotnym szkodnikiem – pokazuje, że cyberprzestępcy wzięli na cel kolejną popularną platformę mobilną, co więcej, taką, której udział w rynku wzrasta. Na razie, chociaż zainfekowane może zostać każde urządzenie, straty w wyniku działania tego trojana ponoszą tylko rosyjscy użytkownicy i o ile nam wiadomo nie jest rozprzestrzeniany za pośrednictwem Android Marketplace.

Jednak doświadczenie pokazuje, że lokalne problemy często przeradzają się w globalne. Kiedy pojawia się szkodliwe oprogramowanie, które stosuje nowy wektor infekcji lub atakuje wcześniej bezpieczną platformę, wiemy, że prędzej czy później problem stanie się poważniejszy.

Chciałbym poinformować, że został opublikowany Biuletyn bezpieczeństwa firmy Microsof MS10-046, który zawiera łatę na lukę w LNK wykorzystywaną przez Stuxneta. Jeżeli nie zainstalowałeś jeszcze łaty, powinieneś to zrobić. Jest to krytyczna luka aktywnie wykorzystywana na wolności.

Otrzymaliśmy kilka raportów wskazujących na problemy ze stosowaniem łaty MS10-046: podczas pierwszego ponownego uruchamiania zużycie procesora przez Explorer znacznie wzrosło i konieczny był restart do prawidłowego działania.

Dajcie nam znać, czy napotkaliście na problemy podczas stosowania tej krytycznej łaty od Microsoftu, czy wszystko działało poprawnie.