Nowe fakty o trojanie Duqu, czarny miesiąc dla Google

Raport zawiera m.in. nowe informacje na temat niebezpiecznego trojana Duqu. Na podstawie analizy zaatakowanych organizacji oraz rodzaju danych, którymi są zainteresowani autorzy Duqu, eksperci doszli do wniosku, że osoby odpowiedzialne za te ataki szukały głównie informacji o systemach zarządzania produkcją w różnych sektorach przemysłu w Iranie, jak również informacji o związkach handlowych między kilkoma irańskimi organizacjami.

Ustalono również, że oprócz wykorzystania pewnego rodzaju standardowej platformy autorzy Duqu najprawdopodobniej zastosowali własny szkielet stworzony w nieznanym języku programowania.

Czarny miesiąc dla Google

W lutym Google znalazło się pod lupą specjalistów ds. bezpieczeństwa IT z dwóch powodów. Na początku miesiąca Kaspersky Lab wykrył falę infekcji przeprowadzonych pod przykrywką kodu Google Analytics. Osoby odwiedzające zhakowane strony przechodziły kilka przekierowań, aby następnie trafić na serwer przechowujący zestaw szkodliwych programów BlackHole Exploit Kit. Jeżeli doszło do pomyślnego uruchomienia tego pakietu, komputer użytkownika był infekowany szkodliwym oprogramowaniem.

Również w pierwszych dniach lutego wykryto dwie metody włamywania się do Google Wallet, systemu płatności elektronicznych, który pozwala użytkownikom na płacenie za towary i usługi przy użyciu telefonów działających pod kontrolą Androida z komunikacją bliskiego zasięgu (NFC).

Najpierw odkryto, że posiadając dostęp do telefonu na poziomie administratora, szkodliwy użytkownik nie potrzebowałby wiele czasu na złamanie czterocyfrowego kodu PIN dla aplikacji Google Wallet. Zaledwie dzień później wykryto lukę w samej aplikacji Google Wallet, która pozwalała uzyskać dostęp do konta na zgubionym lub skradzionym telefonie nawet bez konieczności włamywania się do systemu i posiadania uprawnień administratora. Druga luka została później załatana, jednak na początku marca nie pojawiły się żadne informacje dotyczące pierwszego problemu.

Mobilna sieć zainfekowanych smartfonów

Chińscy twórcy wirusów zdołali stworzyć mobilny botnet RootSmart, który obecnie składa się z 10 000 - 30 000 zainfekowanych aktywnych smartfonów. Całkowita liczba urządzeń zainfekowanych od momentu pojawienia się botnetu wynosi już setki tysięcy. Wszystkie urządzenia zainfekowane RootSmart mogą zdalnie otrzymywać i wykonywać polecenia z serwera kontrolowanego przez cyberprzestępców.

- Szkodliwi użytkownicy kontrolujący botnet RootSmart potrafią ustawić częstotliwość oraz okres wysyłania kosztownych wiadomości tekstowych, jak również krótkie numery, na które będą wysyłane te wiadomości - wyjaśnia Denis Maslennikow, starszy analityk szkodliwego oprogramowania, Kaspersky Lab. W przeciwieństwie do trojanów SMS, podejście to pozwala cyberprzestępcom generować stały, znaczący przypływ gotówki w długim okresie - dodaje Maslennikow.

Niedawne wydarzenia dotyczące zagrożeń mobilnych mające miejsce na całym świecie pokazały, że w 2012 roku botnety mobilne staną się jednym z głównych problemów dla użytkowników smartfonów i firm antywirusowych.

Ataki na sieci korporacyjne

Ataki haktywistów obserwowaliśmy przez cały luty: tym razem członkowie grupy Anonymous obrali sobie za cel zasoby sieciowe o charakterze finansowym i politycznym. Do największych incydentów można zaliczyć ataki na strony internetowe firm mających siedzibę w Stanach Zjednoczonych: Combined Systems Inc. (CSI) i Sur-Tec Inc. Firmy te zajmowały się dostawą do niektórych krajów urządzeń wykorzystywanych do monitorowania obywateli, jak również gazu łzawiącego i innych narzędzi do tłumienia protestów.

Miały miejsce również ataki DDoS, w wyniku których strony internetowe NASDAQ, BATS, Chicago Board Options Exchange (CBOE) oraz Miami Stock Exchange pozostawały przez kilka godzin odłączone od internetu. W Rosji ataki hakerskie były wykorzystywane przed wyborami prezydenckimi jako narzędzia kampanii politycznej. Ofiarą takich umotywowanych politycznie ataków padły również strony internetowe mediów, grup opozycji oraz agencji rządowych.