Na celowniku hakerów

Cyberprzestępcy skutecznie się adaptują do szybko zmieniającej się sytuacji. To najważniejszy wniosek z czerwcowej konferencji Next@Norton 2012, w czasie której firma Symantec podsumowała swoje badania nad najnowszymi zagrożeniami w globalnej sieci. W tym roku motywem przewodnim były ataki za pośrednictwem Facebooka oraz malware na systemy mobilne.

Ataki za pośrednictwem sieci społecznościowych nie były dotąd w Polsce powszechne. To się jednak zmienia. Kilka godzin po prezentacji na temat zagrożeń na Facebooku na tablicy autora tego artykułu pojawił się podejrzany link przesłany przez jednego z członków rodziny. Wiadomość zachęcała do ściągnięcia pliku ze zdjęciami. Okazało się, że był to efekt działania szkodliwego skryptu, który się uruchamiał po kliknięciu linku na tablicy. Robak pobierał listę kontaktów z konta ofiary i podszywając się pod nieświadomą niczego osobę, rozsyłał się do wszystkich znajomych.

Powielanie wiadomości było mechanizmem propagacji i wstępem do właściwego ataku. Kliknięcie odnośnika powodowało też pobranie pliku udającego zdjęcie (nazwa zaczynała się od liter IMG*). W rzeczywistości był to program wykonywalny, który przy próbie otwarcia instalował w systemie trojana TR/Agent, który wyświetlając fałszywe komunikaty, straszy użytkownika wirusami i zachęca do kupienia fałszywego antywirusa (scareware). Szkodliwy link powielił się na dziesiątkach tysięcy profili Facebooka.

Robak był bardzo skuteczny dzięki temu, że rozsiewając się, korzystał z reputacji swojej ofiary. Gdyby podobny URL przyszedł e-mailem z nieznanego adresu, użytkownicy podchodziliby do niego z rezerwą. Co innego, gdy ta sama treść pojawia się na tablicy obok zdjęcia osoby, której ufamy. Inny scenariusz kradzieży reputacji wygląda tak: po kliknięciu linku użytkownik trafia na stronę z kuszącą propozycją, np. obejrzenia intrygującego klipu wideo. Aby go uruchomić, musi wkleić wskazany URL do paska adresu przeglądarki. W rzeczywistości jest to szkodliwy kod Java Script, który pozwala atakującemu przechwycić listę znajomych ofiary w celu dalszego rozesłania linku pułapki. Na podlinkowanej stronie może być też zachęta do kliknięcia w określone miejsce, np. miniaturkę klipu. Pod nią może być ukryty przycisk Lubię to!, którym ofiara nieświadomie rekomenduje link pułapkę znajomym.

Atakujący może także uzyskać dostęp do kontaktów za pomocą szkodliwej aplikacji. Podczas instalacji taka aplikacja wyłudza zgodę na odczytanie danych użytkownika oraz prawo wysyłania wiadomości w jego imieniu.

Przestępcy mogą odnieść korzyści nawet bez ingerencji w system operacyjny, np. wyłudzając pieniądze za pomocą ataku socjotechnicznego. Na swoim profilu możesz zobaczyć link od znajomego, którego konto zostało wcześniej zhakowane, prowadzący do sugestywnej reklamy, np. hojnego rabatu. Jednak, by z niego skorzystać, musisz wypełnić formularz kontaktowy. Jedno z pól jest przeznaczone na telefon. Chwilę po przesłaniu formularza otrzymujesz SMS-em potwierdzenie, z którym przychodzi kilkuznakowy kod. Wpisanie go na stronie to ostatni krok przed otrzymaniem nagrody.

Oczywiście na końcu nie ma żadnej nagrody, jest tylko kara za naiwność. Potwierdzając kodem swój numer telefonu, użytkownik staje się abonentem płatnego serwisu, np. z bezwartościowymi poradami, za 10 dol. miesięcznie. Dodatkowo numer jest sprzedawany agencji marketingowej, która niezwłocznie zaczyna wysyłać SMS-y reklamowe.

1. Czytaj, zanim klikniesz w angielskie wiadomości. Po treści komunikatu można się zorientować, że tekst nie pochodzi od znajomego.
2. Nie wierz we wspaniałe oferty. Nie podawaj nieznanym podmiotom swoich danych osobowych, telefonu czy numeru karty kredytowej.
3. Czytaj uważnie prawa, jakie przyznajesz aplikacji instalowanej w profilu. Ostrożnie przyznawaj uprawnienia pozwalające na publikowanie wiadomości w twoim imieniu.
4. Korzystaj z Facebooka tylko za pomocą zaktualizowanej przeglądarki, by zminimalizować ryzyko złapania wirusa ukrytego w podlinkowanej stronie (drive-by-download).
5. Zainstaluj skaner antywirusowy. Zablokuje on instalację trojana, nawet gdy nieopatrznie uruchomisz zainfekowany plik.

Przestępcy próbują wyłudzać pieniądze także przez ataki na telefon komórkowy. Tutaj nośnikiem szkodliwego kodu są aplikacje, głównie na Androida, który w przeciwieństwie np. do systemu iOS jest dość otwarty i pozwala na instalację programów z różnych źródeł.

Szkodliwe aplikacje są podrzucane w repozytoriach z aplikacjami, zwykle w najpopularniejszych kategoriach: narzędziach i grach. Szkodliwe aplikacje wyróżnia to, że podczas instalacji proszą o przyznanie niezwykle szerokich uprawnień. Na długiej liście ukryte jest prawo do wysyłania SMS-ów. Jeśli użytkownik nie zorientuje się, że aplikacja żąda za dużo, przyznane uprawnienia są od razu wykorzystywane do rozsyłania SMS-ów premium, obciążających rachunek telefoniczny.

Takie działanie ma np. trojan Android.Opfake, który rozpowszechnia się w aplikacjach BatteryOptimizer, OperaMini oraz SkypeMobile. Aktualna wersja tego szkodnika dodatkowo kradnie informacje o telefonie, kontakty i przez sieć może odbierać polecenia od atakującego.

Na szczęście metody propagacji szkodników na komórki są znacznie mniej skuteczne niż te na Facebooku, bo szkodniki nie przenoszą się między użytkownikami. Ponadto ryzyko złapania wirusa przy korzystaniu z renomowanych sklepów z aplikacjami monitorujących zawartość, jest niewielkie.

Ewoluują także szkodniki wymierzone bezpośrednio w pecety. Symbolem tego procesu jest odkryty w maju W32.Flamer, trojan, który stopniem złożoności przypomina pakiet oprogramowania sieciowego. Ma wbudowany serwer HTTP, proxy, bazę danych SQL, język skryptowy i 60 przeznaczonych na niego aplikacji, bibliotekę do szyfrowania połączeń ze swoim centrum kontroli, moduł bluetooth wraz z kodem pozwalającym na włamywanie się do smartfonów, a także narzędzia do wykradania dokumentów biurowych, rejestrowania zrzutów ekranowych i tekstu. Dodatkowe narzędzia w razie potrzeby może pobierać ze „sklepu z aplikacjami”. W przeciwieństwie do zwykłego trojana, który zazwyczaj przyłącza komputer do spamerskiego botnetu, celem Flamera jest pozostawanie w ukryciu i systematyczna kradzież informacji. Szkodnik potrafi się rozprzestrzeniać na wiele sposobów, m.in. dzięki skradzionym loginom administratora, przez sfałszowane skróty Windows (*.lnk), a co najciekawsze, może zainstalować się jako aktualizacja Windows Update, podpisana autentycznym certyfikatem Microsoftu. Jednak Flamer nie powiela się samorzutnie, lecz czeka na instrukcje kontrolera instalującego go tylko na pecetach, z których chce wykradać informacje.

Flamer pokazuje techniki, po jakie mogą sięgnąć cyberkryminaliści. Podobnie jak starszy Stuxnet, który był pierwszym szkodnikiem wymierzonym w elektronikę przemysłową. Na szczęście większość ataków na zwykłych użytkowników jest nieskuteczna, jeśli przestrzegają oni podstawowych zasad bezpieczeństwa, o których regularnie piszemy na łamach PC Formatu.

• Patrick Gardner Vice President, Engineering, Security Technology and Response, Symantec

PC Format: Powinniśmy obawiać się wirusa Stuxnet?
Patric Gardner: Samego Stuxneta nie, gdyż celem tego wirusa jest zakłócanie pracy urządzeń przemysłowych. Jednak, jeśli udał się atak na kontrolery sterujące wirówkami do wzbogacania paliwa nuklearnego, hakerzy równie dobrze mogą zainfekować urządzenia domowe, na przykład router lub telewizor podłączony do sieci. Potrafię sobie wyobrazić, że ktoś będzie chciał to zrobić dla samej sławy.

PC Format: A głośny wirus Flamer, czy on także nie jest groźny dla domowego użytkownika?
Patric Gardner: Zadaniem wirusa Flamer jest szpiegowanie konkretnych krajów bliskowschodnich, więc nie zagrozi on użytkownikom domowym. Skoro jednak można skutecznie wykradać pilnie strzeżone tajemnice rządowe, to wykradzenie twojego loginu bankowego nie jest dla hakerów większym wyzwaniem. Tym bardziej, że dzisiaj nie trzeba do tego nawet umiejętności programowania. Na czarnym rynku oprogramowania za kilkaset dolarów można kupić aplikację do generowania trojanów. Oczywiście stworzone za jej pomocą szkodniki nie będą skrojone na miarę, jak Stuxnet czy Flamer, które korzystały z wielu nieznanych wcześniej luk w zabezpieczeniach i unikatowych metod propagacji, ale będą wystarczająco skuteczne wobec użytkowników, którzy niedostatecznie dbają o bezpieczeństwo swoich komputerów.