Razboiul hackerilor pe Internet continua
Firma GeCAD, expert în securitate IT, a publicat o analiza asupra tendințelor amenințarilor electronice pentru acest început de an, specialiștii GeCAD fiind de parere ca se va remarca în continuare preponderența viermilor cu propagare prin e-mail care folosesc metode agresive pentru a determina infectarea unui numar maxim de utilizatori.
De la începutul anului MyDoom a ajuns deja la varianta F și este înca printre primii 5 viruși ce se raspîndesc în lumea întreaga, avînd înca un grad de risc mediu, cele mai destructive fiind variantele A și F, se arata în studiu.
O noutate în top o reprezinta familia Netsky (Moodown) în care varianta B a atins un grad mare de risc raportîndu-se mii de infecții în primele 30 de minute de la prima mostra detectata. Se estimeaza ca pierderile globale cauzate de acest vierme (productivitate scazuta, ore suplimentare, pierderi de date, suport tehnic în regim de urgența și reducerea traficului Internet) sînt de ordinul miliardelor de dolari.
„Toate variantele din familia Netsky se folosesc de componentele backdoor ale unor variante Mydoom și Mimail pentru a se raspîndi, dar și pentru a elimina în același timp cei doi viermi concurenți. Mai mult, Netsky.C își dezactiveaza propriile versiuni mai vechi (A, B) iar unele mesaje din corpul viermelui indica un razboi între hackeri.”, a declarat Alin Dobre, expert în securitate IT la GeCAD.
Codul viermelui face referire la supremația gruparii Skynet asupra celorlalte grupari de hackeri, fiind o provocare pentru cei ce au creat MyDoom.
Exista pericolul ca aceasta lupta între hackeri sa degeneze în versiuni succesive de viruși care vor încerca sa se anihileze reciproc, infectînd în proces zeci de mii de utilizatori.
Netsky.C se prezinta sub forma unui fișier .zip sau .exe atașat la un mesaj e-mail care pare a proveni de la cineva cunoscut – virusul copiind adresele de e-mail provenind de la alte sisteme infectate. Executarea fișierului atașat conduce automat la infectarea computerului și la trimiterea de e-mail-uri infectate la toate adresele de e-mail gasite în computer. O alta metoda de raspîndire o reprezinta cautarea pe sistemele afectate a tuturor folderelor ce conțin „Shar” în nume și crearea unor copii ale viermelui, ceea ce înseamna ca el se poate propaga și prin sistemele de partajare de fișiere precum KaZaA și ICQ.
Cea mai noua varianta din familia Netsky, Netsky.D, invita utilizatorul sa execute un atașament cu extensia .pif. Orice mesaj electronic care include un fișier atașat .pif – primit de la un strain sau chiar de la un cunoscut – poate fi un virus, recomandarea GeCAD fiind aceea de a șterge mesajul respectiv imediat, farp a executa atașamentul. Este important de subliniat faptul ca viermele mimeaza adrese de e-mail cunoscute, acestea fiind preluate pur și simplu din fișierele calculatoarelor infectate.
Ultimele atacuri cu viermi Internet arata o reorientare a scriitorilor de viruși spre realizarea de coduri cu multiple amenințari. Astfel, virușii denota trei scopuri principale:
* Protestul – în primul rînd, virușii vizeaza site-urile unor companii controversate sau celebre. Astfel, MyDoom.A viza site-ul companiei SCO, antipatizata de comunitatea open-source, iar MyDoom.F are drept ținta RIAA – asociația americana care a dat în judecata mai mulți utilizatori online de fișiere muzicale partajate. Versiuni ale ambilor viruși ataca și site-ul Microsoft, iar unele variante îngradesc accesul la site-urile de securitate de pe Internet.
* Celebritatea – prin raspîndirea creațiilor lor în milioane de mesaje, scriitorii de viruși dobîndesc „celebritate” în comunitațile malware. Uneori, orgoliile depașesc „spiritul de breasla” și aceștia încep sa se atace între ei. Atacul prinde însa la mijloc din ce în ce mai multe milioane de utilizatori nevinovați, ceea ce continua cercul vicios și constituie o provocare pentru alți scriitori de viruși.
* Profitul – aparent o forma de protest și o joaca de adolescenți furioși, propagarea viermilor Internet pe sute de mii de sisteme informatice din întreaga lume are o latura mai puțin vizibila, însa extrem de importanta. Acești viermi sînt astfel concepuți încît computerele neprotejate pot deveni atît o sursa de propagare a spam-ului, dar și o locație de la care se declanșeaza atacuri pe Internet, de la DoS și hacking pîna la furtul de date bancare.
Tendințele pentru prima jumatate a acestui an pot fi rezumate pe patru direcții: promovarea spam-ului, atacurile DoS asupra site-urilor Internet, corelarea între evenimentele de pe piața open-source și atacurile virale, precum și rescrierea de versiuni din rațiuni personale.
* Promovarea spam-ului – chiar daca virușii actuali nu mai au drept scop principal distrugerea sistemului infectat, în opinia lui Alin Dobre, expert GeCAD Software, „ambele familii de viruși au ca principala caracteristica acumularea de adrese de email de pe sistemele afectate în scopul de a fi folosite ulterior la trimiterea de spam”, ceea ce este la fel de periculos.
* Atacurile DoS asupra site-urilor Internet – sînt cele mai ușor de orchestrat, simpla infectare a catorva mii de computere din lumea întreaga putînd duce la un atac simultan al acestora asupra unui site anume, rezultînd în scoaterea acestuia din funcțiune și în pagube considerabile, mai ales în cazul companiilor care își desfașoara majoritatea acțiunilor comerciale pe Internet.
* Corelarea între evenimente – ultimele atacuri arata ca ne putem aștepta la izbucniri virale aflate în strînsa legatura cu evenimente care intereseaza comunitatea pasionaților de computere. În special se poate remarca un paralelism între acțiunile comerciale sau în justiție ale unor mari companii ce încearca limitarea sau regularizarea fenomenului opensource sau fileswapping/filesharing și apariția unor noi viermi Internet sau a unor noi versiuni ale acestora, modificate pentru a ataca site-urile de Internet ale companiilor sau asociațiilor implicate, ca o forma de protest. Autorii virușilor folosesc aceste evenimente drept pretext și catalizator pentru a-și lansa „creațiile”.
* Rescrierea de versiuni ale virușilor principali – acestea nu vor avea alt scop decît cîștigarea unui renume dubios printre „colegii de breasla”, sau atacarea site-urilor unor organizații mai puțin cunoscute (universitați, administrații locale, companii), dar vor infecta pe parcurs mii de utilizatori neavizați.
„Per total, ne putem aștepta la înca doua sau trei atacuri de mare amploare în prima jumatate a nului 2004, declanșate în general în perioada imediat urmatoare unor evenimente sensibile din domeniu, precum și la continuarea valurilor succesive de versiuni ale virușilor cunoscuți.
În general, companiile moderne din România au luat masurile necesare în vederea protejarii datelor și infrastructurilor lor IT, însa sînt necesare soluții care sa țina pasul cu dezvoltarea alarmanta a atacurilor electronice. Cea mai buna metoda este apelarea la companii specializate în securitatea IT, care sînt capabile sa implementeze soluții și politici complete de securitate și sa ofere consultanța necesara pentru a putea face fața oricarui atac electronic.”
Mediafax Business/ IT