Malware v listopadu: Podobnosti mezi červy Duqu a Stuxnet a nedůvěra v certifikační orgány

20. 12. 2011

Sdílet

Společnost PCS spol. s r. o., divize DataGuard, dodavatel bezpečnostních řešení, sumarizuje listopadové dění v oblasti počítačové bezpečnosti.

Analýza provedená odborníky ze společnosti Kaspersky Lab odhalila další podobnost mezi červy Duqu a Stuxnet – oba používají k zahájení útoků dříve neznámá slabá místa. V případě červa Duqu útoky probíhaly e-mailem s pomocí dokumentu aplikace Microsoft Word, který využíval dosud neznámého slabého místa v systému Windows. Odborníci rovněž dospěli k závěru, že hlavním cílem červa Duqu je shromažďovat data o činnostech řady íránských společností a vládních organizací. V listopadu byl zaznamenán první případ výskytu latinskoamerických trojských koní využívajících steganografie v souborech s obrázky. Rodina trojských koní cílila na zákazníky brazilských bank. Holandský certifikační orgán KPN ohlásil, že se stal cílem útoku počítačových pirátů a byl nucen zastavit vydávání certifikátů. Narušení bylo zjištěno ve webovém serveru orgánu KPN souvisejícím s infrastrukturou veřejných klíčů (Public Key Infrastructure, PKI).

Nová aktivita
Výše zmíněná technika umožnila tvůrcům virů zabít více much jednou ranou. „Za prvé může způsobit nesprávnou činnost automatických systémů pro analýzu malwaru: antivirové programy označí soubor po analýze za zcela neškodný a po čase bude odkaz úplně odstraněn z kontroly,“ vysvětluje Aleš Pikora, ředitel divize DataGuard. „Za druhé správci webových stránek, na kterých jsou šifrované škodlivé soubory hostovány, nebudou moci identifikovat tyto soubory jako škodlivé a ponechají je tak, jak jsou. Za třetí někteří výzkumní pracovníci z oblasti malwaru nebudou mít čas nebo odborné znalosti, které by jim umožnily se s takovými soubory vypořádat. To vše samozřejmě hraje do karet kybernetickým zločincům“.

Mobilní hrozby
V polovině července se „odesílatelé SMS s pornografickým obsahem“ zaměřili na uživatele z USA, Malajsie, Nizozemska, Velké Británie, Keni a Jihoafrické republiky. Aplikace tajně zaregistrovaly uživatele k řadě zpoplatněných služeb s příslibem lechtivých obrázků, což vedlo k vyprázdnění jejich mobilních účtů. Nyní se tento problém vyvinul v SMS trojské koně zaměřené na uživatele z řady evropských zemí a Kanady.

Hrozby systému MacOS
Uživatelé počítačů Macintosh stále silněji pociťují vlivy škodlivých programů šířených v pirátském softwaru na trackerech služby torrent. Například nedávno odhalený virus Backdoor.OSX.Miner obsahuje několik škodlivých funkcí: vytvoří vzdálený přístup do infikovaného počítače, shromažďuje informace o historii procházení v prohlížeči Safari, zachytává snímky obrazovky, zcizí soubor wallet.dat z klientů BitCoin a spustí aplikaci BitCoin miner bez schválení uživatele.

Tento konkrétní škodlivý program se šíří prostřednictvím řady trackerů služby torrent, včetně publicbt.com, openbittorrent.com a thepiratebay.org.

Útoky na státní a firemní sítě, další problémy s certifikáty
Stejně jako Diginotar, může organizace KPN vydávat „zvláštní“ certifikáty pro holandské státní a veřejné služby. Ve skutečnosti mnoho organizací postižených incidentem v certifikačním orgánu DigiNotar přešlo na certifikáty orgánu KPN.

Malajský certifikační orgán Digicert (CA Digicert Malaysia) však byl postižen ještě závažnějším incidentem. Byl odstraněn ze seznamu důvěryhodných orgánů všemi výrobci prohlížečů a společností Microsoft. Taková extrémní opatření byla přijata jako nezbytná poté, co orgán vydal 22 certifikátů se slabými 512bitovými klíči a certifikáty bez příslušných informací o prodloužení používání nebo o zrušení.

Listopadové žebříčky, 10 největších hrozeb na internetu

1

Malicious URL

81.41%

0

2

Trojan.Script.Iframer

4.57%

0

3

Trojan.Script.Generic

1.67%

1

4

Trojan.Win32.Generic

0.74%

-1

5

Trojan-Downloader.Script.Generic

0.61%

2

6

Trojan.JS.Popupper.aw

0.37%

3

7

Exploit.Script.Generic

0.36%

-2

8

Trojan.JS.Agent.bwi

0.24%

Nový

9

Exploit.Java.CVE-2010-4452.a

0.21%

Nový

10

AdWare.Win32.Screensaver.i

0.16%

Nový

Divize DataGuard,  tradiční dodavatel bezpečnostních řešení špičkové kvality s přidanou hodnotou, vznikla v roce 1992. Zastupuje zahraniční výrobce komplexní antivirové ochrany. Je výhradním distributorem produktů Kaspersky Lab v ČR a SR a „Elite Partnerem“ společnosti McAfee. DataGuard je držitelem nejvyšších úrovní partnerství, které předpokládají technické a obchodní certifikace.
Na základě požadavků zákazníka nabízíme širokou škálu služeb v oblasti bezpečnosti dat od analýzy bezpečnostních rizik, navržení řešení, instalace testovacích produktů až k následné realizaci doporučených postupů. Běžnou součástí všech služeb je hot-line a hot-mail servis, pravidelné kontroly nainstalovaných produktů, stálá technická pohotovost, školení zaměstnanců nebo úplný outsourcing bezpečnostních prvků.

Skupina PCS

bitcoin_skoleni

Společnosti sjednocené pod názvem PCS se zabývají širokým spektrem činností – od komplexních služeb v oblasti zabezpečovacích a komunikačních systémů, detekce nebezpečných předmětů,
přes dodávky analytických přístrojů a měřících ústředen, až po řešení bezpečnosti dat. Významnou součást tvoří vývoj vlastního ekonomického software a nemocničních informačních systémů.

Skupina PCS působí na českém a slovenském trhu již od roku 1990, zaměstnává přes 100 pracovníků a její roční obrat se pohybuje okolo 200 milionů Kč ročně (2010). Vzájemná synergie jednotlivých činností je zárukou rozvoje a stability i do dalších let. Společnosti sídlí ve vlastních objektech v Praze, Brně a Blansku, její dceřiná společnost je aktivní v Bratislavě. Více informací najdete na www.pcs.cz a www.pcs.sk .