Nasilenie cyberprzestępczości, cyberterroryzmu i cyberszpiegostwa z wykorzystaniem szkodliwego oprogramowania do kradzieży danych

W swoim pierwszym raporcie z badań fokusowych firma Trend Micro analizuje nasilenie ataków oprogramowania kradnącego dane oraz korzenie tego zjawiska w cyberprzestępczym podziemiu.

O ile pojęcie szkodliwego oprogramowania do kradzieży danych jest stosunkowo nowe, to cel istnienia takiego oprogramowania jest już dobrze znany. Jest nim kradzież z uszkodzonych sieci i komputerów danych poufnych, takich jak: dane uwierzytelniające banków internetowych, numery kart kredytowych, numery polis ubezpieczeniowych, hasła i tym podobne. Pozyskane w ten sposób dane pozwalają na rozwój gospodarki cyberprzestępczego podziemia, która oparta jest na sieciach przestępczych nastawionych na zysk i przekraczających granice geopolityczne.

Konie trojańskie: wschodzące gwiazdy kradzieży danych

Konie trojańskie są najszybciej rozwijającą się kategorią oprogramowania do kradzieży danych. Potwierdzają to informacje udostępnione przez TrendLabs(SM) — globalną sieć centrów badań, serwisu i wsparcia technicznego firmy Trend Micro, która stale monitoruje zagrożenia i zapobiega atakom. Poważne zagrożenie dla komputerów stanowią ataki koni trojańskich. Jak sama nazwa wskazuje, dostają się one zwykle do systemu w postaci pozornie nieszkodliwych programów, np. wygaszaczy ekranu, gier lub żartów. Oto najważniejsze wnioski z badań TrendLabs:

W 2007 r. 52% szkodliwego oprogramowania do kradzieży danych stanowiły konie trojańskie. W 2008 r. wskaźnik ten wzrósł do 87%, a w I kwartale 2009 r. — do 93%.

Konie trojańskie, w tym programy szpiegujące, są głównym typem szkodliwego oprogramowania kradnącego dane we wszystkich regionach monitorowanych przez TrendLabs — w Australii, Azji, Afryce, Ameryce Północnej i Południowej oraz w Europie.

„Jako kategoria zagrożeń, oprogramowanie do kradzieży danych bardzo szybko się rozwija. Przynosi zyski przestępcom działającym z pobudek finansowych, którzy potrafią wykorzystać Internet w celu, w jakim został stworzony, czyli do pozyskiwania cennych informacji” — powiedział Jamz Yaneza, menedżer ds. badania zagrożeń w firmie Trend Micro.

Polityka w sprawie międzynarodowej cyberprzestępczości

Polityka zajęła się w końcu cyberprzestępstwami, przynajmniej w tytułach wiadomości medialnych. Jest to zupełnie zrozumiałe, ponieważ, jak wynika z raportów Departamentu Bezpieczeństwa Wewnętrznego USA, tylko w Stanach Zjednoczonych liczba stwierdzonych przypadków włamań do komputerów rządowych i umieszczenia na nich szkodliwego oprogramowania w latach 2006–2008 wzrosła ponad dwukrotnie.1

Zdaniem Paula Fergusona, doświadczonego specjalisty ds. badania zagrożeń w firmie Trend Micro, nie jest wykluczone, że cyberterroryści umieścili już szkodliwe oprogramowanie w sieci elektroenergetycznej Stanów Zjednoczonych, co umożliwiałoby im zdalne przerwanie dostaw energii w każdej chwili.

Cechą  charakterystyczną cyberprzestępstw jest coraz większa mobilność w skali międzynarodowej. W 2007 r. estońskie sieci komputerowe miały poważne problemy z powodu ataków typu DDos (distributed denial of service — rozproszone ataki typu „odmowa usługi”) skierowanych zarówno na rządowe, jak i cywilne serwisy internetowe, inicjowanych prawdopodobnie w Rosji. Incydenty te miały miejsce podczas sporu pomiędzy Rosją i Estonią z powodu usunięcia przez Estończyków pomnika żołnierzy radzieckich. Serwis internetowy ambasady francuskiej w Pekinie był niedostępny przez kilka dni na skutek zmasowanego ataku cybernetycznego, który nastąpił po spotkaniu prezydenta Nicolasa Sarkozy’ego z Dalaj Lamą, duchowym przywódcą Tybetańczyków. Dziś wielu specjalistów jest przekonanych, że atak ten zorganizowała grupa chińskich hakerów z pobudek nacjonalistycznych.

„Praktycznie każdy, kto ma komputer z dostępem do Internetu, może spowodować duże szkody. W Stanach Zjednoczonych zdarzały się udokumentowane ataki hakerów na strony internetowe stanów lub hrabstw” — powiedział Ferguson. „Mniejsze firmy i instytucje, które mają ograniczone budżety na technologie informatyczne i zatrudnienie informatyków, zlecają tworzenie witryn internetowych stronom trzecim. Z biegiem czasu witryny te są coraz rzadziej serwisowane i uaktualniane, co prowadzi do powstania luk w zabezpieczeniach, które wykorzystują tzw. haktywiści (hakerzy działający z pobudek politycznych), aby wyrazić swoje poglądy”.

Coraz częściej zdarzają się również przypadki cyberszpiegostwa. Każdego roku przedsiębiorstwa tracą miliardy dolarów z tytułu kradzieży własności intelektualnej, ponieważ dane będące przedmiotem tajemnicy handlowej są nielegalnie kopiowane i sprzedawane konkurencji na czarnym rynku w celu osiągnięcia zysków lub wykorzystywane do wyłudzeń i wymuszeń. Sieci przedsiębiorstw na całym świecie są doskonałym obiektem ataków cyberprzestępców, którzy potrafią pokonać ich zabezpieczenia.

„Cyberprzestępcy wykorzystują szkodliwe Oprogramowanie do celów geopolitycznych i osiągania zysków finansowych” — powiedział Ferguson. „Byliśmy nawet świadkami ataków na systemy kontrahentów Stanów Zjednoczonych w dziedzinie obronności celem przechwycenia tajnych danych handlowych. Ataki te zainicjowano prawdopodobnie w Chinach. Ze względu na anonimowość Internetu trudno jest jednak wytropić ludzi, którzy naprawdę pociągają za sznurki”.

Tradycyjne zabezpieczenia nie są już  przeszkodą dla cyberprzestępców

Przez wiele lat zabezpieczenia koncentrowały się na ochronie punktów końcowych, za pośrednictwem których większość użytkowników sieci uzyskuje dostęp do danych. We współczesnych środowiskach informatycznych, narażonych na różnego rodzaju zagrożenia, potrzebna jest nowa strategia. Rozwiązanie Trend Micro™ Smart Protection Network zapewnia wielowarstwową ochronę, która jest oparta na proaktywnym blokowaniu szkodliwego oprogramowania w Internecie (in-the-cloud), zanim dostanie się ono do sieci lokalnej.

Podobna metoda jest stosowana przeciwko najnowszym, wielostronnym, kombinowanym atakom łączącym kilka rodzajów zagrożeń internetowych. Wykorzystując technologię korelacji oraz analizę behawioralną, Smart Protection Network koreluje kombinacje działań zagrażających bezpieczeństwu danych, aby ocenić stopień tego zagrożenia. Analizuje wiadomości e-mail, wbudowane łącza, załączone pliki oraz pliki internetowe przechowywane na hostach, aby zidentyfikować nowe adresy IP, domeny, adresy URL i pliki, które można natychmiast dodać do baz danych o reputacji w celu szybszego blokowania nowych zagrożeń.

Badając relacje pomiędzy wyżej wymienionymi komponentami, Smart Protection Network oferuje realistyczny, całościowy obraz potencjalnych zagrożeń.

Pakiet zabezpieczający dane przed zagrożeniami wewnętrznymi

Pracownicy, którzy są najważniejszym zasobem firmy, stanowić mogą również największe zagrożenie, zwłaszcza jeśli mają dostęp do informacji w sieci przedsiębiorstwa. Zabezpieczenia Trend Micro chronią dane nie tylko przed zagrożeniami zewnętrznymi, ale również wewnętrznymi. Pakiet Data Protection Pack łączy takie rozwiązania, jak Trend Micro™ LeakProof Standard, Trend Micro™ Email Encryption Gateway i Trend Micro™ Message Archiver. Pakiet zabezpiecza pocztę elektroniczną i zapobiega utracie danych poufnych podczas ich używania, przesyłania i przechowywania. Pakiet dostępny jest dla użytkowników oprogramowania Trend Micro™ NeatSuite Advanced i Client Server Messaging.

Więcej informacji o rozwiązaniu Trend Micro Smart Protection Network oraz chronionych przez nie produktach i usługach można znaleźć pod adresem: http://www.smartprotectionnetwork.com.

Pełny tekst raportu z badań fokusowych o szkodliwym oprogramowaniu do kradzieży danych (Data-Stealing Malware Focus Report) można znaleźć pod adresem: http://us.trendmicro.com/imperia/md/content/us/pdf/threats/securitylibrary/data_stealing_malware_focus_report_-_june_2009.pdf.

Trend Micro cały czas inwestuje znaczne środki w badania i analizę zagrożeń. Kompletna biblioteka raportów o dotychczasowych zagrożeniach jest dostępna pod adresem: http://us.trendmicro.com/us/threats/enterprise/security-library/white-paper-listing/index.html.