„A Stuxnet és utódjai, a Flame vagy a Gauss végleg megváltoztatták a kiberhadviselés játékszabályait, megjelenésükkel tanúi lehetünk a katonai hackerek között folyó háború első ütközeteinek. Mivel ma már tényleg mindent behálóz az informatika, az országok inkább kártevő programokkal támadják meg egymást, a kiberhadviselés forradalma pedig a szemünk előtt zajlik” – mondta Mikko Hypponen, az F-Secure kutatási igazgatója.
Az F-Secure Labs, a vállalat kutatási részlegének becslései szerint a Stuxnet kifejlesztése nem kevesebb, mint 10 ember egyévi munkaidejébe került. Ez azt jelenti, hogy a kiberhadviselés nagyon is életképes érdekérvényesítő stratégiának bizonyul a megszokott módszerek – például diplomáciai tárgyalások vagy bojkottok – helyett. Mindössze egy héttel a vírus felfedezése után az amerikai kormány elismerte, hogy a Stuxnetet közösen fejlesztette az izraeli hadsereggel. A Stuxnethez egyértelműen kapcsolódott a Flame, amelyre 2012 májusában bukkantak rá. A kártevőt az F-Secure szerint kémtámadásra használták nyugati hírszerző ügynökségek a Közel-Keleten.
A Flame többek között billentyűzet-naplózó és képernyőmentő szolgáltatásokkal is segíti a kémkedést. A kártevő ezen felül rákeres minden Office dokumentumra, PDF, Autodesk tervrajzra és szövegfájlra a helyi és a hálózati meghajtókon, valamint képes arra is, hogy az így eltulajdonított szövegből kinyerje a támadók számára releváns tartalmat.
Sőt, a Flame képes a felhasználó számára észrevétlenül bekapcsolni a fertőzött gép mikrofonját, hogy lehallgassa, audio fájlba mentse és továbbítsa a gép közelében zajló párbeszédeket. Ez a veszélyes trójai emellett detektál minden digitális kamerával készült fényképet, amelyekből GPS adatokat nyer ki és küld tovább, valamint képes megtalálni a fertőzött géppel párosított bluetooth eszközöket, és kinyerni azok névjegyzékét vagy egyéb hasznos információit.
Bankoló trójaiak
2012 első felében tovább terjedt az úgynevezett bankoló trójai kártevők két családja, a Zeus és a SpyEye. Az első jellemzően a billentyűzetleütések elemzésével és az online űrlapok adatainak felhasználásával támad, míg konkurense minden előzetes figyelmeztetés nélkül a bankszámlánkat üríti ki az online bejelentkezést követően. Az online banki adatok lopására szakosodott trójai kártevők az utóbbi években modulárisan felépülő és a bűnözői csoportok igényeinek megfelelően formálható malware keretrendszerekké alakultak át. A többi szoftvertermékhez hasonlóan, ezeket is fejlesztői eszköztárak segítségével készítik és folyamatosan fejlesztik, hogy később a tényleges támadó számára eladhatóvá váljanak.
A Mac-ek sem sebezhetetlenek többé
2012 elején kiderült az is, hogy az Apple számítógépek sem immunisak többé a támadásokkal szemben. Az úgynevezett Flashback trójai egy Java sebezhetőséget használt ki, és több mint 600 000 Mac-et fertőzött meg világszerte.
A Flasback egy klasszikus online átirányítási mechanizmussal terjedt el: a felhasználók ellátogattak egy veszélyes weboldalra, ami azonnal átirányította őket egy Flashback-kel fertőzött honlapra. A Flasback trójai egy komplex kártevő, például képes „összezárni” magát a fertőzött hoszttal, majd titkosítottan kommunikál a vezérlő szerverekkel. Az ilyen szintű kifinomultság egyértelműen arra enged következtetni, hogy a kártevőt malwarek írásában több éves tapasztalattal rendelkező profi hackercsoportok készítették.
Előre csomagolt fenyegetések
A sebezhetőségek kihasználása az utóbbi években egyre népszerűbbé, mára szinte a legkedveltebb eszközzé vált az online bűnözők körében. Tevékenységük felgyorsítása és egyszerűsítése érdekében a támadók elkezdték ezeket a sérüléseket összegyűjteni, és csomagba – exploit kitbe – rendezve árulni, és folyamatosan frissíteni a legutóbbi fejlesztésekkel. Így automatikusan gyártható kártevő például az Internet Explorer, az Adobe Reader vagy a Java gyenge pontjaira építve. A támadók különböző stratégiákat választanak a kártevők terjesztésére, leggyakrabban fertőzött oldalakkal, keresőoptimalizálással és manipulatív eszközökkel vonzzák a felhasználókat a kívánt weboldalakra. A látogató számítógépét és böngészőjét a csomag megszondázza, így kiderül, hogy az nyitva áll-e az exploit kitben található fenyegetések előtt, amelyek ha kiaknázható sérülékenységet találnak, megfertőzik és manipulálhatóvá teszik az eszközt.
Célpont az Android: nőtt a mobil eszközök fenyegetettsége
Az okostelefonok ellen irányuló támadások legfőbb célpontja az Android. Az operációs rendszerre írt kártevők száma az Androidos okostelefonok terjedésével egyenesen arányosan tavaly kezdett jelentősen nőni, a trend pedig tovább folytatódott 2012-ben. A második negyedévben már 5333 különböző kártékony alkalmazást detektált az F-Secure, ami 64 százalékos növekedést jelent az előző negyedévhez képest. 2012 második negyedévében 19 új Androidra írt víruscsaládot regisztráltak, továbbá 21 új változatot a már ismert víruscsaládok esetében. Mindezek alapján 2012 elkövetkező hónapjaira is további növekedés jósolható az Android vírusok fejlesztésében.
Továbbra is terjednek a hamis antivírus programok
A hamis antivírusok régóta okoznak kellemetlenségeket a számítógépes felhasználóknak. A roguewareként vagy scarewareként ismert kártevők felhasználói felülete a legális szoftverekére hasonlít, így manipulatív módon félrevezetik a felhasználót, és csalással, legtöbbször hamis vírus-szkennelési adatokkal győzik meg az adott program próbaverziójának letöltéséről, telepítéséről, majd a „teljes változat” megvásárlásáról. 2012 második negyedévében az F-Secure felmérései alapján a legnépszerűbb hamis biztonsági szoftvercsaládok közül a kompromittált gépek 40 százalékát a Security Shield, 35 százalékát a Security Sphere, 20 százalékát a FakeAV, további 5 százalékán pedig a Privacy Protection fertőzte meg.
