Troianul Duqu şi atacul care a avut ca ţintă utilizatorii serviciului Google Wallet sunt cele mai importante incidente malware ale lunii februarie, anunță Kaspersky Lab. De asemenea, botnet-ul RootSmart, format din telefoane mobile inteligente, este compus dintr-un număr cuprins între 10.000 şi 30.000 de terminale infectate.
Evenimentele recente, care au în centru malware-ul mobil, indică faptul că în 2012, botnet-urile formate din telefoane mobile vor deveni una dintre principalele probleme ale utilizatorilor de smartphone-uri, precum şi a companiilor antivirus.
Troianul Duqu
În urma analizei asupra organizaţiilor şi a tiparului datelor vizate de troianul Duqu, experţii Kaspersky Lab au ajuns la concluzia că atacatorii căutau mai mult informaţii despre sistemele de administrare a producţiei, aflate în diferite sectoare industriale din Iran, precum şi informaţii despre relaţiile comerciale ale organizaţiilor din acea ţară. De asemenea, pe lângă utilizarea unui anumit tip de platformă standardizată, autorii troianului Duqu au folosit propria infrastructură, dezvoltată într-un limbaj de programare necunoscut.
O lună „de coşmar” pentru Google
Luna februarie a adus Google în atenţia specialiştilor în securitate IT din două motive. Primul a fost legat de valul de infecţii descoperit de Kaspersky Lab, care presupunea injectarea pe pagini web de cod periculos, deghizat ca fiind cod Google Analytics. Vizitatorii website-urilor infectate erau purtaţi printr-un număr de redirecţionări, urmând ca, la final, să ajungă pe server-ul care găzduia malware-ul respectiv (BlackHole Exploit Kit). Dacă exploit-ul era lansat cu succes, atunci computerul se infecta la rândul său.
Al doilea motiv a fost dat de identificarea metodelor de hacking asupra Google Wallet, sistemul e-payment care permite utilizatorilor să plătească bunuri şi servicii, folosind telefoanele cu sistem de operare Android şi funcţie Near Field Communication (NFC). Prima metodă presupunea obţinerea de acces root la telefon, care apoi permitea atacatorului să ghicească uşor codul PIN al aplicaţiei Google Wallet, compus din doar patru cifre. A doua metodă, idenficată imediat după aceasta, însemna exploatarea unei vulnerabilităţi din aplicaţie, care oferea acces la contul Google Wallet de pe un telefon furat sau pierdut. Această nouă cale de acces nu necesita „spargerea” sistemului pentru acces la root. Într-un final, vulnerabilitatea a fost reparată de către Google, dar, la momentul actual, nu există informaţii referitoare la rezolvarea primei metode de atac.
Ameninţările mobile – RootSmart
Autorii de viruşi din China au reuşit să creeze RootSmart, un botnet format din telefoane mobile, care în prezent este compus dintr-un număr cuprins între 10.000 şi 30.000 de terminale active infectate. Toate telefoanele infectate cu RootSmart primesc şi execută comenzi de la distanţă, prin intermediul unui server de comandă şi control (C&C).
„Cei care controlează botnet-ul pot seta frecvenţa şi perioada la care telefoanele infectate vor începe să trimită SMS-uril la numere cu suprataxă, precum şi respectivele numere scurte”, explică Denis Maslennikov, Senior Malware Analyst la Kaspersky Lab. „Spre deosebire de troienii SMS, această abordare permite infractorilor cibernetici să obţină un flux financiar stabil, pe o perioadă mai lungă de timp”, completează acesta.
Atacuri asupra reţelelor corporate – Anonymous
Hacktivism-ul a continuat şi în luna februarie, mai mulţi membri Anonymous ţintind numeroase resurse web ce aparţin unor instituţii financiare sau politice. Printre incidentele majore se numără cele care au în centru companiile americane Combined Systems Inc. (CSI) şi Sur-Tec Inc. Motivul pentru care acestea au fost atacate este alimentat de informaţii conform cărora cele două companii au furnizat mai multor ţări sisteme de supraveghere, pentru monitorizarea cetăţenilor, alături de gaze lacrimogene şi alte instrumente folosite pentru oprirea protestelor.
Atacurile DDoS nu au lipsit, iar printre site-urile afectate s-au numărat NASDAQ, BATS, Chicago Board Options Exchange (CBOE) şi bursa din Miami. De asemenea, în Rusia, înaintea alegerilor prezidenţiale, atacurile DDoS au fost utilizate ca instrumente de campanie politică. Site-uri aparţinând publicaţiilor, grupurilor din opoziţie şi agenţiilor guvernamentale au fost subiectul unor atacuri motivate politic.