La sfarsitul anului trecut a inceput sa se propage pe Internet (cam 10.000 de site-uri au estimat expertii, si asta numai in US, la nivel mondial cifra fiind substantial mai mare) un soft care nu este un malware propriu-zis, ci un soi de “avantgarda, atentioneaza Adrian Spinei pe blogul sau Netuality. Programul pune stapanire pe sistem si actualizeaza permanent cea mai noua versiune de malware, cat mai greu de detectat de softurile antivirus.
Vrand-nevrand continui seria articolelor despre securitatea pe web, subiect care spuneam ca ne va preocupa in 2008 ceva mai mult decat in anii trecuti. La finele lui 2007 a inceput sa se propage pe Internet (cam 10.000 de site-uri au estimat expertii, si asta numai in US, la nivel mondial cifra fiind substantial mai mare) un programel interesant.
Cum se manifesta acesta la nivel de utilizator ? Ei bine, un fisier Javascript incearca descarcarea unui software executabil de Windows - daca internautul da click “ok” din reflex sau “din principiu” atunci cand i se propune executia, acesta se va instala frumusel pe sistem. Remarcabil este ca softul cu pricina nu este un malware propriu-zis, fiind doar un soi de “avantgarda”.
Proaspat instalatul program va cauta atent sistemul gazda, uitandu-se dupa brese care pot fi exploatate pentru a-l lua in stapanire dupa care downloadeaza strict “uneltele” de care are nevoie pentru a se incrusta solid pe gazda. Softurile sunt scrise dupa toate regulile artei si se actualizeaza periodic de pe o retea relativ masiva de servere aflate toate in Statele Unite in diferite locatii. Procesul de “actualizare” asigura ca vei avea intotdeauna pe sistemul infectat cea mai noua versiune de malware, cat mai greu de detectat de softurile antivirus.
Remarcati ca aidoma cercetatorilor de securitate care studiaza troienii, si autorii acestor troieni studiaza (intr-o “reciprocitate” oarecum hazlie) softurile antivirus de pe piata. Astfel, ei “ofera” continuu upgrade-uri pentru a scapa nedetectati. Autorii au lucrat ca la carte si se vede ca nu discutam despre un student plictisit din Regie, ci de oameni care fac din aceasta activitate meseria lor de baza.
Mai departe, este clar ce se intampla. Parole, numere de card, documente, emailuri, contacte sunt trimise pe o retea de servere, altele decat cele de suport ale infectiei dar situate tot in Statele Unite in multiple locatii (Dalas, Chicago, San Diego, etc). Tot spre aceste servere se trimit informari periodice, rapoarte de executie, statusuri intr-un mod foarte metodic si profesionist. inca o data se vede nivelul ridicat de tehnicitate si de organizare al autorilor.
Lucru destul de inedit, specialistii de la SANS (SysAdmin, Audit, Network, Security) Institute se vad pusi in situatia de a cere ajutorul publicului pentru a clarifica modul in care softul se propaga si functioneaza pe serverele web. La ora actuala, se stie doar ca atat Javascript-ul cat si executabilul “avantgarda” sunt generate si obfuscate pe loc (pentru a deruta antivirusii care scaneaza traficul web), aceste fisiere (aparent?) nefiind stocate undeva pe serverul infectat.
Teoria este ca mecanismul de raspandire este destul de sofisticat si implica exploatarea uneia dintre vulnerabilitatile (cunoscute au ba) la nivel de server Linux+Apache. Practic asistam la o premiera, un malware care nu se multumeste sa modifice site-ul penetrat si sa adauge cateva fisiere, ci se instaleaza ca modul de server web, facand detectia si dezinfectia aproape imposibile pentru un novice.
Repet, este doar o teorie, la ora actuala nu se stie precis cum se propaga aceasta infectie pe servere. Si nu orice servere, pana si unul din subdomeniile site-ului Universitatii din Berkeley (bgess.berkeley.edu) a fost detectat ca gazduind un astfel de monstrisor. Cine are habar cate din site-urile mai obscure romanesti (multe gazduite pe hostinguri ieftine de pe servere din US) ofera ca supliment o mica infectare ?
Mai multe detalii la Finjan Software, cei care au descoperit intamplator toata tarasenia.
Tot o premiera din domeniul infractiunii pe Internet, nu este vorba de site-uri de aceasta data ci de ceva mult mai grav. Zilele trecute CIA au confirmat oficial aparitia unui nou trend infractional care mizeaza pe securizarea in general slaba a sistemelor informatice de la firmele de utilitati (distributie de apa, curent electric, gaze).
Dupa penetrare, atacatorii solicita de la firmele administratoare ale utilitatilor sume de bani consistente pentru a preda controlul serverelor. Pentru a fi mai convingatori, ei fac mici demonstratii concrete - CIA a confirmat ca mai multe pene de curent au fost semnalate ca fiind parte a unor astfel de actiuni de santaj.
La final, sa reamintim ca se apropie Valentine’s Day si ca “producatorii” de malware si virusi vor profita pentru a lansa un val de infectari via spam si site-uri false de felicitari, inimioare, floricele si alte cantecele. Veti primi destul de multe emailuri de iubire si nu numai - in limba engleza au ba - cu linkuri, atasamente, pozulete frumusele numai bune de clickuit. Sa fiti iubiti, dar atentie pe ce dati click si ce instalati de Valentine’s !
