Menu

Botnet ZeroAccess na generování Bitcoinů

29.04.2013 05:40 | Redakce Chip
Botnet ZeroAccess na generování Bitcoinů
Výzkumný tým společnosti zároveň rozkryl pozadí útoků na servery NBC.com či Spamhaus a objevil nové varianty škodlivých kódů pro platformu Android...

Společnost Fortinet zveřejnila rozsáhlý průzkum, který mapuje stav informační bezpečnosti od 1. ledna do 31. března letošního roku. Fortinet ve zprávě konstatuje, že největším nebezpečím v prvním čtvrtletí letošního roku byl botnet ZeroAccess, který zneužívá napadených počítačů k výpočetním úkonům, za něž jeho provozovatelé získávají virtuální měnu Bitcoin. (V roce 2010 byla cena jednoho Bitcoinu cca 0,08 USD.  I když je cena Bitcoinu velmi pohyblivá, vyšplhala se v dubnu 2013 až na 159 USD! *) Zpráva tak přináší analýzu kybernetických útoků proti NBC.com, mapuje útok na servery organizace Spamhaus a upozorňuje na dvojici nových škodlivých kódů pro platformu Android, které stojí za pozornost.

Botnet ZeroAccess stále jede na plný plyn

„V prvním čtvrtletí roku 2013 jsme zaznamenali výrazný nárůst aktivity kolem botnetu ZeroAccess. Jeho provozovatelé provedli výraznou úpravu systému a zvýšili množství počítačů, které mají pod kontrolou,“ uvedl bezpečností stratég a výzkumník na poli hrozeb v laboratořích FortiGuard Labs společnosti Fortinet Richard Henderson. „Za posledních devadesát dní vydali provozovatelé botnetu ZeroAccess pro své stanice dvacet aktualizací software!“

Statistiky detekčních systémů FortiGate rozmístěných na celém světě přitom hovoří jasně - ZeroAccess je dnes nejrozšířenější hrozba. Tento botnet je primárně využívaný pro podvodné získávání kliknutí nebo pro provádění výpočtů, za něž je následně vydávána virtuální měna Bitcoin. Hodnota této digitální decentralizované měny založené na myšlence open-source totiž raketově roste, takže ZeroAccess svým provozovatelům generuje milióny dolarů.

„S tím, jak roste popularita a hodnota Bitcoinu, předpokládáme, že tímto směrem obrátí svoji pozornost také další provozovatelé botnetů. Buď se budou snažit generovat finance podobným způsobem, nebo se naopak pokusí rozbít trh Bitcoinu,“ vysvětluje Henderson.

V březnu a následně i v dubnu měl totiž server Mt. Gox, což je největší světová burza s Bitcoinem, trvalé problémy s útoky DDoS (Distributed Denial of Service). Jejich cílem mohlo být buď destabilizování této měny, nebo naopak zvýšení profitu z ní. Analýza FortiGuard Labs prokázala, že botnet ZeroAccess v současnosti nemá k dispozici modul pro provádění DDoS útoků, což nasvědčuje tomu, že by se provozovatelé dalších botnetů mohli snažit generovat zisk z výkyvů na trhu Bitcoinu.

V uplynulých devadesáti dnech pokračoval také růst infikovaných počítačů botnetem ZeroAccess. Laboratoře FortiGuard Labs ho začaly aktivně monitorovat v srpnu 2012 a od té doby je jeho nárůst víceméně lineární. V poslední době však roste skutečně raketově: týdně se infikuje kolem 100 tisíc nových počítačů a celkem hlásí nákazu téměř 3 miliónů unikátních IP adres. Odhaduje se, že jen na podvodné reklamě tento botnet může svým majitelům generovat výnos 100 tisíc dolarů denně.

Dvě nové varianty škodlivých kódů pro Android

Velmi výrazně nastoupily do světa dvě nové varianty škodlivých kódů pro Android: Android.NewyearL.B a Android.Plankton.B.Oba škodlivé kódy lze nalézt vložené do různých aplikací třetích stran, přičemž mají schopnost zobrazovat reklamu, sledovat uživatele mobilního zařízení pomocí unikátního čísla IMEI nebo modifikovat pracovní plochu zařízení.

Rekapitulace hrozeb v prvním čtvrtletí 2013:

NBC.com

V únoru byl jistý – v internetovém „podsvětí“ velmi oblíbený – nástroj použit pro útok na nedávno vydané aktualizace platforem Java (Oracle) a PDF (Adobe). Útočníci infikovali systémy, ke kterým se připojuje řada dalších NBC zařízení, trojským koněm Citadel a botnetem ZeroAccess. V době útoku byly schopno tuto hrozbu detekovat jen tři ze 46 nejrozšířenějších antivirových programů. FortiClient od společnosti Fortinet byl jedním z nich.

„Zprávy o skomírání antivirových programů založených na klasických signaturách jsou silně přehnané,“ doplňuje Vladimír Brož, Territory Manager ČR, SR a Maďarsko, společnosti Fortinet. „Signatura je totiž často nepřesně brána jako jednoduchý otisk, který odpovídá konkrétnímu škodlivému kódu. Nedávné zkušenosti však ukazují, že tomu tak vždy není. Například signatury v aplikacích Fortinetu jsou vysoce inteligentní a ve spojení s naším antivirovým algoritmem se snaží identifikovat záměr škodlivého kódu. V případě útoku jako byl tento vůči systémům NBC.com tak pokročilé signatury slouží k proaktivnímu odhalování problémů a mohou být využity i k detekci pokročilých hrozeb nebo útoků nultého dne.“

Dnes jsou pokročilé hrozby (v angličtině typicky označované jako APT, AdvancedPersistent Threat) schopné porážet většinu technologií včetně firewallů příští generace (NextGeneration Firewall, NGF). Proto je nejlepším způsobem obrany vybudovat síťovou obrannou strategii, která má několik bezpečnostních vrstev a která je lépe schopna chránit infrastrukturu před útokem. V případě incidentu NBC.com byly do zachycení útoku zapojeny i jiné, než tradiční vrstvy – např. filtrování webu, prevence průniku a řízení aplikací.

Kauza Spamhaus

V březnu organizace TheSpamhaus Project, která se snaží dlouhodobě koordinovat boj proti spamu, zařadila na svoji černou listinu nizozemského poskytovatele webových služeb CyberBunker. Příznivci tohoto poskytovatele jako odpověď spustili rozsáhlý DDoS útok na servery Spamhausu. Poskytovatel obsahu CloudFlare proto Spamhausu přispěchal na pomoc a snažil se zajistit dostupnost černých listin, ale i on se vzápětí dostal „pod palbu“ útočníků. Na vrcholu útoku byl proti Spamhaus, CloudFlare a dalším spřízněným skupinám zaznamenaný tok dat představující 300 miliard bitů za sekundu! Šlo o nejsilnější kdy zaznamenaný podobný útok. Provedený byl metodou DNS Amplification: při něm botnet posílá podvržené požadavky na otevřený DNS server a požaduje, aby byly odpovědi předány v objemném DNS souboru.

 

 

Zajímavosti ze světa IT v e-mailu

Stačí odeslat svoji e-mailovou adresu


Odesláním formuláře souhlasíte se zpracováním svých osobních údajů a užitím pro marketingové účely vydavatelství Burda Praha, spol. s.r.o.

Předplatné / nákup chipu Digitální edice chipu Aktuální vydání