Najgroźniejsze wirusy października

Z drugiej strony, między omawianymi programami istnieją znaczące różnice. Przede wszystkim, w przeciwieństwie do Stuxneta Duqu nie zawiera funkcji atakowania systemów przemysłowych. Oprócz głównego modułu Duqu zawiera również trojana szpiegującego, który może przechwytywać dane wprowadzane za pośrednictwem klawiatury, wykonywać zrzuty ekranu, zbierać informacje o systemie itd. To wszystko sugeruje, że głównym celem trojana nie był sabotaż przemysłowy, ale szpiegostwo przemysłowe.

Dalsze dochodzenie doprowadziło do zidentyfikowania nowych ofiar Duqu, głównie w Iraku, co stanowi kolejną analogię do Stuxneta. - Znaleźliśmy również nowe i wcześniej nieznane pliki Duqu. Potwierdza to nasze przypuszczenia, że osoby odpowiedzialne za Duqu nadal są aktywne, a cele ich ataków (w przeciwieństwie do masowych infekcji Stuxneta) są ściśle wyselekcjonowane" - tłumaczy Aleksander Gostiew, starszy analityk bezpieczeństwa w Kaspersky Lab. Ponadto, dla każdego ukierunkowanego ataku wykorzystywany jest unikatowy zestaw plików. Niewykluczone, że stosowane są jeszcze inne komponenty - nie tylko trojan szpiegujący, ale również moduły posiadające szereg dodatkowych funkcji - dodał Gostiew.

Bundestrojan

W październiku pięć niemieckich landów przyznało się do wykorzystywania podczas prowadzenia dochodzenia trojana Backdoor.Win32.R2D2, co wywołało ogólne oburzenie. Niemieckie prawo federalne pozwala policji na przechwytywanie komunikacji podejrzanych osób prowadzonej jedynie za pośrednictwem Skype'a. W tym przypadku jednak szkodnik potrafił szpiegować również wiele innych rodzajów komunikatorów oraz aplikacji.

Dochodzenie przeprowadzone przez Chaos Computer Club, niemiecką społeczność hakerów, w którym później uczestniczyli eksperci z niemieckiego biura Kaspersky Lab, wykazało, że trojan przechwytywał wiadomości nie tylko w programie Skype, ale również w najpopularniejszych przeglądarkach, rozmaitych komunikatorach oraz programach VoIP: ICQ, MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster oraz Yahoo! Messenger. Okazało się, że backdoor ten potrafił również działać w 64-bitowych wersjach systemów Windows.

Incydent ten po raz kolejny zwraca uwagę na problem istnienia tak zwanych "rządowych trojanów" oraz kwestie prawne związane z ich wykorzystywaniem.

W październiku nastąpił przełom w świecie zagrożeń mobilnych: całkowita liczba szkodliwych programów dla Androida po raz pierwszy przewyższyła liczbę zagrożeń dla J2ME. Szkodliwe oprogramowanie dla J2ME dominowało wśród zagrożeń mobilnych przez ostatnie dwa lata. - Tak gwałtowny wzrost liczby szkodliwych programów dla Androida sugeruje, że twórcy wirusów będą teraz koncentrowali się na tym systemie operacyjnym - ostrzega Denis Maslennikow z Kaspersky Lab.

Najgroźniejszy trojan dla systemu Mac OS X

W październiku pojawił się Trojan-Downloader.OSX.Flashfake.d, nowa wersja trojana Flashfake dla systemu Mac OS X. Szkodnik ten podszywał się pod plik instalacyjny programu Adobe Flash Player. Podobnie jak w przypadku jego poprzedników, głównym zadaniem trojana jest pobieranie innych plików z internetu. Został on jednak wyposażony w dodatkową funkcję, umożliwiającą wyłączenie wbudowanego systemu ochrony - Xprotect (stworzony przez firmę Apple prosty skaner sygnaturowy).

Po wyłączeniu system ten nie może otrzymywać uaktualnień od Apple, przez co staje się bezużyteczny w wykrywaniu nowych zagrożeń. Wyłączenie XProtect jest możliwe, ponieważ twórcy tego systemu nie wyposażyli go w mechanizm autoochrony. Po uruchomieniu na komputerze Trojan-Downloader.OSX.Flashfake.d nie tylko uniemożliwia ochronie antywirusowej usunięcie go, ale również sprawia, że system jest podatny na inne szkodliwe programy, które w innym razie zostałyby wykryte przez wbudowany system bezpieczeństwa. W rezultacie, trojan ten jest znacznie groźniejszy niż inne szkodliwe programy dla systemu Mac OS X.

Pod względem ataków na korporacje i organizacje państwowe, październik był bardzo aktywnym miesiącem. Najczęstszym celem były organizacje w Stanach Zjednoczonych i Japonii.

Po pierwsze, wykryto atak na członków niższej izby japońskiego parlamentu. Istnieje duże prawdopodobieństwo, że hakerzy uzyskali dostęp do wewnętrznych dokumentów i wiadomości e-mail parlamentarzystów, którzy padli ofiarą tego ataku. Szkodliwe oprogramowanie zostało również wykryte na komputerach w kilku japońskich ambasadach na całym świecie. Szkodnik kontaktował się z dwoma serwerami zlokalizowanymi w Chinach, które wcześniej były wykorzystywane w ataku na Google.

Pojawiło się również więcej informacji na temat sierpniowego ataku na Mitsubishi Heavy Industries. Dochodzenie przeprowadzone przez tokijską policję ujawniło, że na 83 komputerach, które padły ofiarą tego ataku, znaleziono około 50 różnych szkodliwych programów. Wykryto, że do zainfekowanego systemu hakerzy uzyskali dostęp ponad 300 000 razy. Poszukiwanie źródła ataku doprowadziło do kolejnego zainfekowanego komputera, który należał do SJAC (Society of Japanese Aerospace Companies).

Hakerzy wykorzystywali ten komputer do wysyłania zainfekowanych wiadomości e-mail do Mitsubishi Heavy i Kawasaki Heavy, a swoje ślady zacierali w ten sposób, że uzyskiwali dostęp do maszyny w SJAC z anonimowego serwera proxy zlokalizowanego w Stanach Zjednoczonych. Mimo to, japońscy eksperci podtrzymują swoją teorię, według której hakerzy pochodzili z Chin.

Na tym tle incydent z wirusem znalezionym w naziemnych systemach kontroli bezzałogowych samolotów w amerykańskiej bazie wojskowej może wydawać się mniej groźny. Jednak jest on kolejnym dowodem na to, że poziom bezpieczeństwa w ważnych instalacjach jest niedopuszczalnie niski. Według anonimowego źródła z amerykańskiego Departamentu Obrony, celem trojana była kradzież danych dotyczących różnych gier online. Szkodnik prawdopodobnie znalazł się w systemie bazy wojskowej przez przypadek, a nie w ramach ataku.