Evolutia amenintarilor IT in trimestrul 1 din 2013: Incidente noi, suspecti vechi

In cel mai recent raport, expertii Kaspersky Lab au analizat evolutia amenintarilor IT in primul trimestru al anului 2013. Primele trei luni ale anului s-au dovedit a fi pline de evenimente, in special in ceea ce priveste spionajul cibernetic si armele cibernetice.

La inceputul anului, Kaspersky Lab a publicat un raport cu rezultatele unui studiu despre o operatiune de spionaj cibernetic la nivel global, numita Red October. Aceste atacuri au vizat mai multe agentii guvernamentale, organizatii diplomatice si companii din intreaga lume. Pe langa atacarea computerelor, in cadrul operatiunii Red October au fost furate informatii de pe dispozitivele mobile, din echipamentul de retea, de pe dispozitivele USB, din arhivele locale Outlook, de pe servelerele izolate POP/IMAP sau de pe serverele locale FTP de pe internet.

In luna februarie, un nou program malitios, numit MiniDuke, a intrat in atentia tuturor. Acesta a patruns in sisteme folosind vulnerabilitatile de tip 0-day din Adobe Reader (CVE-2013-0640). Expertii Kaspersky Lab au analizat, in parteneriat cu CrySys Lab, din Ungaria, incidentele care au fost asociate cu acest tip de malware. Victimele MiniDuke s-au dovedit a fi agentii guvernamentale din Ucraina, Belgia, Portugalia, Romania, Republica Ceha si Irlanda, precum si organizatii de cercetare din Ungaria, un institut de cercetare, doua centre stiintifice si un centru medical din Statele Unite. In total, au fost detectate 59 de victime in 23 de tari diferite.

In luna februarie, Mandiant a publicat un raport  detaliat despre o serie de atacuri lansate de o grupare de hackeri chinezi, cunoscuta cu numele de APT1. Potrivit informatiilor furnizate de Mandiant, APT1 pare a reprezenta, de fapt, o divizie a armatei chineze. Aceasta nu a fost prima data cand Beijingul a fost acuzat de complicitate in atacuri cibernetice care au avut ca tinta agentii si organizatii guvernamentale din alte tari. Cu toate acestea, guvernul chinez a respins ferm toate afirmatiile facute de raportul Mandiant.

La finalul lunii februarie, a aparut un studiu publicat de Symantec, cu privire la nou-identificata versiune a lui Stuxnet – Stuxnet 0.5. Acesta s-a dovedit a fi, de fapt, cea mai recenta modificare cunoscuta viermelui, care a fost activ intre 2007 si 2009. Expertii au afirmat in repetate randuri ca au existat, sau inca exista, versiuni mai vechi ale cunoscutului vierme, insa aceasta reprezinta prima dovada concreta.

„Primul trimestru al anului 2013 a venit cu numeroase incidente majore, ce tin de spionajul cibernetic si de armele cibernetice”, a declarat Dennis Maslennikov, Senior Malware Analyst in cadrul Kaspersky Lab. „Incidentele care sa necesite luni de cercetare sunt relativ rare in industria antivirus. Chiar si mai rare sunt evenimentele care raman relevante chiar si trei ani dupa ce au avut loc – cum ar fi detectarea Stuxnet, de exemplu. Desi viermele a fost studiat de numerosi furnizori de programe antivirus, exista in continuare mai multe module care au fost studiate foarte putin, sau chiar deloc. Analiza efectuata asupra versiunii 0.5 a Stuxnet a oferit mai multe informatii legate de acest program malware, in general. Este foarte probabil sa aflam si mai multe informatii pe viitor. Acelasi lucru ar putea fi spus despre celelalte arme cibernetice detectate dupa Stuxnet, precum si despre alte fisiere malware folosite in spionajul cibernetic”, a completat Dennis Maslennikov.

De asemenea, tot in primul trimestru al anului 2013 au fost detectate mai multe atacuri cu tinta predefinita impotriva activistilor tibetani si uiguri. Atacatorii pareau sa foloseasca toate resursele pentru a-si atinge scopurile, si atat utilizatorii Mac OS X, cat si utilizatorii Windows si Android au fost printre tintele atacurilor.

Inca din anul 2011, au avut loc atacuri in masa ale hackerilor impotriva companiilor si cateva scurgeri majore de informatii legate. Ar putea parea ca acestea atacuri nu au avut nicio finalitate, dar nu a fost asa. Infractorii cibernetici sunt mai interesati ca oricand sa obtina date confidentiale, inclusiv informatii legate de utilizatori. Printre victimele incidentelor din primul trimestru al anului s-au numarat companii precum Apple, Facebook, Twitter si Evernote.

Frontul amenintarilor pentru dispozitivele mobile a fost, de asemenea, marcat de numeroase incidente in primele trei luni ale lui 2013. Desi in luna ianuarie dezvoltatorii de virusi pentru dispozitivele mobile nu au avut foarte multa activitate, in urmatoarele doua luni, Kaspersky Lab a detectat 20.000 de noi modificari ale fisierelor malware pentru dispozitive mobile, care reprezinta aproape jumatate din toate noile mostre de malware detectate pe tot parcursul anului 2012.

S-au remarcat si schimbari in ceea ce priveste geografia amenintarilor. De data aceasta, Rusia (19%, -6 puncte procentuale) si Statele Unite (25%, +3 puncte procentuale) au inversat inca o data locurile in clasament in ceea ce priveste generarea actiunilor de dezvoltare a malware-ului – Statele Unite revenind pe primul loc. Procentele inregistrate de celelalte tari au fost aproape neschimbate, comparativ cu ultimul trimestru al anului 2012.

Topul celor mai intalnite vulnerabilitati nu a inregistrat schimbari semnificative. Vulnerabilitatile Java sunt in continuare in fruntea clasamentului, fiind detectate pe 45.26% dintre computere. Expertii Kaspersky Lab au identificat, in medie, opt tipuri diferite de brese pe fiecare dispozitiv neprotejat.

Puteti citi versiunea completa a raportului despre evolutia amenintarilor IT in primul trimestru al anului 2013 pe securelist.com.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply