Historia rozwoju cyberprzestępczości (część III – Ataki na systemy przemysłowe)

Druga połowa lat dwutysięcznych to okres daleko idących zmian w rozwoju cyberprzestępczości. Na globalnej scenie miejsce popularnych wcześniej robaków zaczęły zajmować narzędzia stworzone przez zorganizowane grupy hakerskie, które były nastawione na zysk i zainfekowanie jak największej liczby urządzeń. Był to także czas rozwoju złośliwych narzędzi uderzających w infrastrukturę krytyczną i przemysłową.

Specjaliści z firmy Fortinet przedstawiają trzecią część opracowania dotyczącego historii rozwoju cyberprzestępczości.

 

2005: Mytob/Zotob – robak, backdoor i botnet w jednym

Przed pojawieniem się Mytoba autorami złośliwego oprogramowania byli głównie entuzjaści, którzy tworzyli je z chęci zrobienia żartu lub z czystej ciekawości. Jednak pojawienie się wariantów Mytob/Zotob zmieniło świat.

Mytob łączył w sobie funkcje robaka, backdoora oraz botnetu. Infekował urządzenia na dwa sposoby. W pierwszym wykorzystywał kontakty z książki adresowej ofiary do automatycznej dystrybucji – rozsyłał się w złośliwych załącznikach poczty elektronicznej. W drugim korzystał z luk w protokołach, dzięki którym mógł skanować sieć w poszukiwaniu podatnych urządzeń, a następnie dokonywać replikacji na nie.

Mytob był też jednym z pierwszych rodzajów złośliwego narzędzia, które blokowało oprogramowanie antywirusowe lub wręcz działało przeciwko niemu, uniemożliwiając połączenie komputera ofiary z witrynami zawierającymi aktualizacje. Jak na swoje czasy był bardzo efektywny, miał też wiele wariantów o różnej funkcjonalności. Stale znajdował się na pierwszych miejscach list największych zagrożeń.

Warianty Mytob/Zotob spowodowały ogromne zakłócenia w funkcjonowaniu 100 firm, w tym dziennika New York Times czy stacji telewizyjnej CNN.

 

Początek ery oprogramowania szpiegującego i przechwytywania wyników wyszukiwania

 

2005: CoolWebSearch i BayRob

CoolWebSearch, powszechnie znany jako CWS, był pierwszym narzędziem, które pozwalało cyberprzestępcom na przechwytywanie wyników wyszukiwania z Google i nałożenie na nie „wyników” pochodzących od samych hakerów. CWS był najczęściej rozprzestrzeniany za pomocą pobieranych z sieci aplikacji lub też programów typu adware. Był tak rozpowszechniony i trudny do usunięcia, że ochotnicy opracowali programy (jak np. CWS Shredder) i zarządzali forami internetowymi, aby pomóc w bezpłatnym usuwaniu go.

Podobny atak pojawił się kilka lat później, w 2007 roku. W jego efekcie przestępcy przechwytywali wyniki wyszukiwania z serwisu eBay. Został on wykryty, gdy pewna kobieta ze stanu Ohio kupiła samochód za kilka tysięcy dolarów, który nigdy nie dotarł na miejsce. Władze ustaliły, że pojazd ten w rzeczywistości nie został wystawiony na sprzedaż, a na komputerze niedoszłej nabywczyni znajdowało się złośliwe oprogramowanie BayRob, które „wstrzykiwało” na jej urządzenie fałszywe oferty. FBI i Symantec przez lata cierpliwie czekały na błąd cyberprzestępców, co zakończyło się ich aresztowaniem w 2016 r.

 

Spyware, spy vs. spy oraz odkrycie cyberbroni stosowanej przez państwa

 

2010: Stuxnet

Początek 2010 r. to czas wykrycia złośliwego oprogramowania wykorzystywanego do atakowania urządzeń przemysłowych (ICS – Industrial Control Services), a konkretnie urządzeń do kontroli i zbierania danych (SCADA). Stuxnet okazał się pierwszym złośliwym oprogramowaniem wymierzonym w infrastrukturę krytyczną. W tym przypadku były to wirówki przemysłowe (zwłaszcza nuklearne), w których Stuxnet powodował ich nadmierne obracanie się i doprowadzał do stopienia. Zaatakował przede wszystkim firmy w Iranie, ale wkrótce rozprzestrzenił się na systemy SCADA na całym świecie. Analiza jego kodu wykazała, że nie jest on charakterystyczny dla urządzeń wykorzystywanych w Iranie i może być dostosowany do każdej firmy, która korzysta z rozwiązań ICS. W opublikowanym w 2012 roku na łamach NY Times artykule potwierdzono, że Stuxnet został opracowany przez Stany Zjednoczone i Izrael.

 

2011: Regin

Regin był modułowym trojanem zdalnego dostępu (Remote Access Trojan, RAT), który łatwo mógł dostosować się do środowiska docelowego. Dokumenty, które ulegały eksfiltracji, były często przechowywane w zaszyfrowanym kontenerze. Dzięki temu, że znajdowały się w jednym pliku, nie wzbudzało to podejrzeń administratorów systemu lub oprogramowania antywirusowego. Według Der Spiegel, Regin był tworem amerykańskiej agencji NSA i został zaprojektowany do szpiegowania obywateli Unii Europejskiej. Zostało to ujawnione przy okazji wycieku informacji dostarczonych przez Edwarda Snowdena.

 

2012: Flame

W momencie odkrycia Flame był uważany za najbardziej zaawansowane złośliwe oprogramowanie, jakie kiedykolwiek znaleziono. Miało wszystko: zdolność do rozprzestrzeniania się za pośrednictwem sieci LAN, potrafiło nagrywać i przechwytywać zrzuty ekranu oraz dźwięk, podsłuchiwać i nagrywać rozmowy. Celem Flame’a były przede wszystkim organizacje na Bliskim Wschodzie.