Incidensek, áldozatok, Kártevők -- 2011 Első Negyedévének IT-biztonsági Trendjei

Mi történt az idei év első három hónapjában az informatikai biztonság területén? Beszámolónkban a trend értékű híreket, adatokat igyekszünk sorra venni, majd a VirusBuster víruslaboratóriumának észlelései alapján áttekintést nyújtunk a 2011. január-március időszak leggyakoribb számítógépes károkozóiról, illetve azok legjelentősebb webes forrásairól.

Negyedéves összefoglalónk főbb témái:

1. Kiemelkedő incidensek

2. Kiemelkedő áldozatok

3. Kiemelkedő kártevők

4. Atomerőművek ellen?

5. Spam és botnetek

6. Folt hátán folt

Az anyag elkészítéséhez felhasználtuk a Puskás Tivadar Közalapítványon belül működő CERT-Hungary Központ adatait, illetve a szerteágazó nemzetközi kapcsolataink révén begyűjtött információkat is. Bízunk abban, hogy összefoglalónkban mind a szervezeti, mind az egyéni felhasználók találnak számukra hasznos információt.

1. Kiemelkedő incidensek

Van ok aggódni. Van a biztonsági szakembereknek miért dolgozniuk. És van a felhasználóknak jó okuk a védekezésre, korszerű, naprakész védelmi megoldás alkalmazására.

Dőlnek a vírusok, férgek, az őket terjesztő spam. Az idei első negyedévben könyvelte el az ötvenmilliomodik mintát kártevő-nyilvántartásában a nemzetközileg ismert IT-biztonsági laboratórium, az AV-Test. A nevezetes szám egy PDF file-nak jutott, amely az Adobe Reader egy sérülékenységét kiaknázva próbálja megfertőzni a Windows gépeket. A kártevő nyilvántartásba vétele újabb jele annak, hogy a számítógépes bűnözők fő célpontját már nem az operációs rendszerek vagy a böngészők, hanem a különböző cégektől származó alkalmazások jelentik. Az Adobe Reader mellett leggyakrabban a Flash plugineket és a Javát támadják.

És miközben szaporodnak és terjednek a mind kifinomultabb kártevők, a számítógépes bűnözők nemcsak a technológiát fejlesztik, hanem újabb és újabb trükkökkel állnak elő. Kreativitásukat sarkallja, hogy egy-egy ötletből – de akár csak egy botnet üzemeltetéséből – rengeteg pénzt zsebelhetnek be.

Egy amerikai férfi például közel 8 millió dollárra tett szert számítógépes csalásból. A 37 éves Asu Pala és társai olyan szoftverrel fertőzték meg áldozataik gépét, amely észrevétlenül többletdíjas telefonszámokat tárcsázott. A szoftverfejlesztőket Pala alkalmazta, majd a tesztelt programot kiosztotta bandája tagjainak. A beprogramozott telefonszámokat természetesen a csoport bérelte – érdekes módon németországi szolgáltatóktól. Valahányszor valamelyik számra hívás érkezett, a bandának pénz ütötte a markát. Pala ily módon 2003 és 2007 között összesen 7,94 millió dollárt zsebelt be. Az ügyészség szerint Németországban – és elképzelhető, hogy más európai országokban – legalább 250-en estek a bűnözők áldozatául, s fizették ki a többletszámlákat.

Pala „csak" pénztárcákat veszélyeztetett, ám más számítógépes bűnözők akár emberéletekre is törhetnek. Intő jel, hogy egy brit bíróság márciusban négy, terrorizmussal kapcsolatos vádpontban is bűnösnek találta a British Airways (BA) egyik volt rendszergazdáját.

A 31 éves Radzsib Karim a manchesteri egyetemen frissen szerzett elektronikai diplomával a zsebében posztgraduális gyakornokként, 2007-ben lépett be a légitársasághoz. Munkakörét azonban terrorista anyagok gyűjtésére és terjesztésére használta, s online kapcsolatot tartott egy radikális muszlim pappal. Mint a nyomozók kiderítették, Karim a BA londoni és newcastle-i hálózatáról rendszeresen bizalmas információkat küldött a Dzsammat-ul Mudzsahedin Banglades (JMB) elnevezésű terrorista csoportnak. Állítólag egy támadás részeként a légitársaság kritikus számítógép-rendszereinek lekapcsolására is készült.

„Radzsib Karim mindent megtett, hogy leplezze tevékenységét. A rendőrség terrorizmuselhárító parancsnokságán (Metropolitan Police Service Counter Terrorism Command) dolgozó szakértőknek azonban kilenc havi munkával sikerült megfejteniük 300, a vádlott gépének merevlemezén tárolt titkosított üzenetet" – nyilatkozott Stuart Osborne parancsnokhelyettes a BBC-nek. Hozzátette: ez volt csapatuk eddigi legbonyolultabb titkosítás-feltörési feladata.

2. Kiemelkedő áldozatok

Azt hihetnénk, hogy a kártevők, a bűnözők igazából csak a hétköznapi átlagembert bosszantják és fosztogatják. Elvégre a nagy szervezetek és nemzetközileg ismert vezető személyiségek mögött óriási erőforrások állnak, így aztán – gondolhatnánk – őket online veszélyek biztosan nem fenyegetik.

Nos, az idei év első hónapjai többszörösen felhívták a figyelmet arra: senki nincs biztonságban. Hackertámadás áldozata lett például a francia elnök. Facebook lapján a betörők azt írták: nem indul jövőre az újraválasztásért.

A helyesírási hibákkal tűzdelt üzenet nem kevesebbet állított, mint hogy Nicolas Sárközy az „ország előtt álló rendkívüli körülmények miatt" úgy döntött: nem áll rajthoz az elnökségért 2012-ben esedékes versenyben. A szövegben egy másik Facebook lapra mutató link is volt, mely utóbbi oldal a „Búcsú Nicolas Sárközytől" címet viselte.

Ennél is pikánsabb, hogy saját közösségi portálján lett hackerek áldozata Mark Zuckerberg, a Facebook alapító elnök-vezérigazgatója. Ismeretlenek betörtek az ifjú milliárdos Facebook lapjára, s oda saját üzenetüket tették ki. Eszerint a Facebooknak lehetővé kellene tennie, hogy a felhasználók „szociális módon" befektethessenek a cégbe, s ezzel kiváltsák a banki finanszírozást. A szerzők Muhammed Yunus Nobel-békedíjas közgazdász mikrohitel koncepciójára hivatkoztak, de a rövid szövegből nem derült ki, hogyan is képzelték a fejlődő világban hasznosnak bizonyult elgondolás Facebookra való átültetését.

A közleményt egy bizonyos #hackercup2011 jegyezte, s mire a rendszergazdák a lapot visszaállították, már több mint 1800-an nyomták meg rá a Tetszik gombot.

A francia és az amerikai esetnek ugyanaz a – mindannyiunk által megszívlelendő – tanulsága. A szakértők ugyanis úgy nyilatkoztak: mindkét incidenst az tette lehetővé, hogy egyesek „lazán bántak" a jelszóval…

Nem kis költségvetésű szervezetek is voltak a negyedév áldozatai között. Úgy tűnik, mindinkább hozzá kell szoknunk nemzetállamok, politikai egységek elleni online támadásokhoz. A gazdasági és politikai konfliktusok a kibertérbe is eszkalálódnak.

Márciusban kapott szárnyra a hír: a francia pénzügyminisztérium másfélszáznál több gépébe törtek be kiberbűnözők, s állítólag más minisztériumokat is támadás ért. A behatolások tavaly decemberben kezdődtek. A hackerek a nyomozás eredményei szerint a februári – Franciaország által elnökölt – G20 csúcsra vonatkozó állományokra vadásztak.

A francia nemzetbiztonsági informatikai hivatal (ANSSI) munkatársainak nem sikerült kideríteniük, hogy pontosan milyen mértékű volt a behatolás. Mindenesetre Pailloux Patrick, az ANSSI vezérigazgatója az esetet először megszellőztető Paris Matchnak úgy nyilatkozott: „ez az első támadás a francia állam ellen, s nagyságrendje ugyancsak példa nélküli".

A tettesek e-mail csatolmányba bújtatott trójai kártevőt küldtek a kiszemelt címzetteknek – többségükben a G20 csúcson dolgozó minisztériumi munkatársaknak. Megfigyelők megjegyzik, hogy az előző csúcstalálkozónak Kanada volt a házigazdája, s akkor az ottani pénzügyminisztériumot érte hasonló támadás.

Egyes elemzők Kínát gyanítják a mostani akció hátterében, bár erre utaló konkrét bizonyítékot eddig nem találtak. Hogy ennek ellenére felmerült a gondolat, annak az az oka, hogy a csúcstalálkozó központi témája a kereskedelem kiegyensúlyozatlansága volt – márpedig ebben az ügyben az ázsiai ország ugyancsak érdekelt.

Röviddel később ugyancsak súlyos informatikai támadás érte – mégpedig a brüsszeli csúcstalálkozó előestéjén – az Európai Bizottságot és az EU külügyi szolgálatát. hogy Behatoltak a Bizottság Microsoft Exchange levelezőszerverébe. „Gyakran vesznek célba bennünket, de most nagyszabású támadás történt" – közölte a BBC-vel egy nevét elhallgató illetékes. Az uniós szakemberek azonnal reagáltak. A veszély felmérése után az Európai Bizottság – „annak érdekében, hogy ne kerüljön információ illetéktelen kezekbe" – letiltotta az e-mail és az intranet külső elérését, s a munkatársakat felszólították: változtassanak jelszót.

És a sorozatnak még nincs vége. Újabb pár nap elteltével az Európai Parlament lett kibertámadás áldozata, mire a strasbourgi biztonsági szakemberek többek között egy időre letiltották a webmail-hozzáférést.

Egy uniós tisztségviselő szerint mindkét EU-s esetben összehangolt, jól szervezett akcióról volt szó, s az elkövetők érzékeny információkat próbáltak megszerezni. „Nem tizenéves fiúk játszottak betörősdit az érintett intézményekben" – tette hozzá.

3. Kiemelkedő kártevők

Ahogy telik az idő, hajlamosak vagyunk megfeledkezni minden idők „legeredményesebb" kártevőjéről, a Confickerről. Pedig a csönd nem jelenti azt, hogy elmúlt a veszély – mutatott rá a féreggel foglalkozó munkacsoport (Conficker Working Group, CWG) januárban közzétett tanulmánya, amelyet eredetileg a Rendon Group készített, az amerikai belbiztonsági minisztérium forrásai alapján. Hiszen meglehet: csak annak köszönhető, hogy nem okozott komolyabb kárt a féreg, mert alkotói visszariadtak az ellenük felvonultatott óriás erőtől.

A Confickernek keresztelt botnet-fertőzést 2008 novemberében fedezték fel, s 2009-ben végigsöpört az egész világon. Biztonsági szakemberek már 2008-ban összefogtak a féreg ellen – ez az együttműködés vezetett végül magának a CWG-nek a megalakításához. A Conficker elleni küzdelem hatalmas erőforrásokat mozgatott meg, s különböző szervezetek olyan szinten fogtak össze a probléma megoldása érdekében, amire korábban nem volt példa. Mindebből – hangoztatják a tanulmány szerzői – fontos tanulságokat lehet levonni arra nézve: hogyan célszerű felvenni a harcot az ilyen, egész világot érintő fenyegetésekkel szemben.

Mint megállapítják: annak ellenére, hogy a CWG-nek sikerült elvágnia a férget a bűnözőktől – azaz lehetetlenné tette a Conficker irányítását -, az anyag összeállítása idején még mindig 5 és 13 millió között becsülték a fertőzött windowsos PC-k számát.

Milyen ajánlásokat tesz az anyag a jövőre nézve? Nos, a szerzők egyebek mellett globális stratégia kidolgozását javasolják, hiszen hosszú harcra kell felkészülnünk. Fontosnak tartják a kormányok, valamint különböző szervezetek, például az ICANN bevonását.

Miután megemlékeztünk a kártevők koronázatlan kiráyáról, szóljunk pár szót az utóbbi hónapok „kisstílűbb", de attól még szintén veszélyes főkolomposairól!

Híven hűséges kutyájáról szóló jelmondatához – „Buster mindig éberen figyel" – a VirusBuster folyamatosan nyilvántartást vezet a hazai neten észlelt számítógépes károkozókról. A cég szakemberei kiértékelik házon belüli, illetve különböző helyeken működtetett levelezésvédő rendszereik fogását, s az adatokból hónapról hónapra toplistát készítenek, melyet a vállalat site-ján is megjelentetnek, a www.virusbuster.hu/labor/virus-toplista címen.

clip image002 „Januárban folytatódott a szokásos, botnetekről terjesztett trójaiak áradata. Érdekesség, hogy az év első toplistájának elejére befutott egy fájlfertőző vírus is, a (táblázatainkban pirossal kiemelt) Win32.Sality, amely egyébként szintén köthető botnetekhez. Ez utóbbi azután később is megőrizte előkelő helyét. Emellett az egész negyedévben folyamatosan bombáztak minket a hamis antivírus szoftvert telepítő trójaiak" – szólt észleléseikről Szappanos Gábor, a VirusBuster víruslaboratóriumának vezetője.