Symantec: robotické sítě jsou na vzestupu

11. 12. 2009

Sdílet

Společnost Symantec oznámila vydání své zprávy MessageLabs Intelligence 2009 Security Report. Jednou ročně vydávaná zpráva podrobně popisuje, jak počítačoví zločinci v průběhu roku 2009 vylepšili svoji odolnost vůči ochranným opatřením.

Zpráva upozorňuje na značné výkyvy v aktivitě nevyžádané pošty v průběhu roku. Průměrná úroveň nevyžádané pošty dosahovala 87,7 %, ale maxima a minima činila 90,4 % v květnu, respektive 73,3 % v únoru. Napadené počítače odeslaly 83,4 % ze 107 miliard nevyžádaných zpráv rozeslaných v průměru každý den na celém světě a zdá se, že po odpojení poskytovatelů služeb Internetu, kteří byli hostiteli robotických sítí (botnetů), například společnosti McColo koncem roku 2008 a společnosti Real Host v srpnu 2009, byla přehodnocena a vylepšena strategie záložního řízení robotických sítí, takže obnovení již netrvá několik týdnů nebo měsíců, ale pouze několik hodin. Podle předpovědí budou mít robotické sítě v roce 2010 autonomní inteligenci; každý uzel bude obsahovat vestavěný plně autonomní kód, který bude koordinovat a prodlužovat jeho přežití.

Stav v oblasti zabezpečení určovaly v roce 2009 nadále hlavně robotické sítě. Deset nevýznamnějších robotických sítí, mezi nimi Cutwail, Rustock a Mega-D, nyní ovládá nejméně pět milionů napadených počítačů. Dominantní silou v oblasti nevyžádané pošty a škodlivého kódu byla v roce 2009 robotická síť Cutwail, která měla na svědomí rozeslání 29 % veškeré nevyžádané pošty, tj. 8 500 miliard nevyžádaných zpráv od dubna do listopadu 2009.

Síť Cutwail také rozesílala nevyžádané e-maily obsahující trojského koně Bredolab maskovaného ve formě přiloženého souboru ZIP. Trojský kůň Bredolab, který je jednou z hlavních hrozeb v roce 2009, byl navržen tak, aby odesílateli poskytl úplnou kontrolu nad cílovým počítačem, kterou je poté možno využít k instalaci dalšího škodlivého kódu robotické sítě, adwaru nebo spywaru. Podíl nevyžádané pošty, která distribuuje trojského koně Bredolab, se koncem roku 2009 neustále zvyšoval a nejvyšší úrovně dosáhl v říjnu 2009, kdy se odhadovalo, že denně je distribuováno přibližně 3,6 mld. e-mailů s tímto škodlivým kódem.

Nejobávanější sledovanou bezpečnostní hrozbou byl letos červ Conficker/Downadup.

Finanční krize vygenerovala v první polovině roku 2009 mnoho nových útoků souvisejících s financemi. Autoři nevyžádané pošty a počítačoví zloději se v této době snažili využít nejistotu provázející globální ekonomický pokles. V roce 2009 obsahovalo 90,6 % nevyžádané pošty adresu URL, k čemuž výrazně přispěl rychlý nárůst použití zkrácených adres URL v nevyžádané poště ve druhé polovině roku. Zkrácené adresy pomohly zamaskovat skutečný webový server, na který uživatel přejde, a ztížily identifikaci nevyžádaných zpráv pomocí tradičních filtrů nevyžádané pošty.  

Dalšími z mnoha témat nevyžádané pošty byly v roce 2009 vedle světové finanční krize také akce celosvětového významu, svátky a důležité zprávy, například den svatého Valentýna, pandemie chřipky H1N1 a úmrtí celebrit, mezi jinými zpěváka Michaela Jacksona a herce Patricka Swayzeho. Smrti Michaela Jacksona se chopili také autoři škodlivého kódu a dokonce i podvodníci zaměření na aktivity ve stylu nigerijských dopisů a jako první příklady se krátce po jeho smrti objevily nebezpečné odkazy šířící brazilského bankovního trojského koně.

Zvýšené pozornosti se letos dostalo také technikám CAPTCHA (Completely Automated Public Turing test to tell Computer and Humans Apart), protože v podzemní ekonomice se čile obchodovalo s nástroji umožňujícími prolomení těchto technik. Počítačovým zlodějům to umožnilo vytvořit velké množství skutečných účtů pro webovou poštu, rychlé zprávy a weby společenských sítí. Objevily se organizace, které se specializují na poskytování skutečných lidí pro vytváření skutečných účtů v hlavních webových e-mailových službách 24 hodin denně. Tato práce je často inzerována jako zpracování dat a u každého pracovníka lze očekávat, že za 1 000 vytvořených účtů dostane přibližně dva až tři dolary. Účty jsou dále prodávány autorům nevyžádané pošty za přibližně 30 až 40 USD.  

Hlavní trendy v roce 2009

Zabezpečení webu: V roce 2009 vzrostl průměrný počet každodenně zablokovaných nových nebezpečných webových serverů na 2 465 oproti 2 290 v roce 2008, což je zvýšení o 7,6 % Tým MessageLabs Intelligence zablokoval nebezpečné webové hrozby ve 30 000 různých doménách. 80 % těchto domén byly napadené zavedené legitimní weby, zbývajících 20 % byly nové domény zřízené výhradně se zlým úmyslem.

Nevyžádaná pošta: V roce 2009 dosáhl průměrný roční podíl nevyžádané pošty 87,7 %, což je zvýšení o 6,5 procentního bodu oproti hodnotě 81,2 % za rok 2008. V dubnu došlo k nárůstu obrázkové nevyžádané pošty, která 5. dubna tvořila 56,4 % veškeré nevyžádané pošty na rozdíl od ročního průměru 28,2 %.

Viry: Průměrná úroveň výskytu virů v roce 2009 byla 1 virus ve 286,4 e-mailu (0,35 %), což je pokles o 0,35 procentního bodu oproti roku 2008, kdy průměrná úroveň byla 1 virus ve 143,8 e-mailu (0,70 %).

Phishing: Míra výskytu phishingových útoků byla 1 útok v 325,2 e-mailu (0,31 %) oproti 1 útoku v 244,9 e-mailu (0,41 %) v roce 2008. V roce 2009 bylo distribuováno více než 161 miliard phishingových útoků.

ICTS24

Kompletní zpráva MessageLabs Intelligence Report je k dispozici na webu Symantecu.